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HRH 一 


21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 ,企业 经 营 和 人 们 的 日 常生 活 。 随 着 
信息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增 加 ,但 我 国 
日 前 信息 安全 人 才 极 度 匮 乏 , 远 远 不 能 满足 金融 、 商 业 、 公 安 、 军 事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设立 信息 安全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 

信息 安全 是 计算 机 .通信 、 物 理 、 数 学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普 记 缺 乏 经 验 , 因 此 中 国 计 算 机 学 会 教 
育 专业 委员 会 和 清华 大 学 出 版 社 联合 主办 了 ”信息 安全 专业 教育 教学 人 研讨 
会 ?等 一 系列 人 赋 讨 活动 ,并 成 立 六 高 等 院 校 信息 安全 专业 系列 教材 ”编审 委员 
会 ,由 我 国信 息 安全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,指导 “高 等 院 校 
信息 安全 专业 系列 教材 ”的 编写 工作 。 编 委 会 本 着 人 研究 先行 的 指导 原则 ,认真 
人 研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量具 有 前 
有 瞻 性 的 研究 工作 ,而 且 这 种 研究 工作 将 随 着 我 国信 息 安 全 专业 的 发 展 不 断 深 
人 。 系 列 教材 的 作者 都 是 既 在 本 专业 领域 有 深 厚 的 学 术 造 证 , 叉 在 教学 第 一 线 
有 丰富 的 教学 经 验 的 学 者 .专家 。 

该 系列 教材 是 我 国 第 一 套 专门 针对 信息 安全 专业 的 教材 ,其 特点 是 : 

D 体系 完整 .结构 合理 ,内 容 先 进 ，; 

适应 面 广 : 能 够 满足 信息 安全 .计算 机 .通信 工程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 ; 

立体 配套 : 除 主教 材 外 ,还 配 有 多 媒体 电子 教案 ,习题 与 实验 指导 等 ; 

版 本 更 新 及 时 , 紧 跟 科学 技术 的 新 发 展 。 

在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专家 的 推荐 和 审 
定 , 闭 选 了 一 批 国外 信息 安全 领域 优秀 的 教材 加 入 系列 教材 中 ,以 进一步 满 
足 大 家 对 外 版 书 的 需求 。“ 高 等 院 校 信息 安全 专业 系列 教材 "已 于 2006 年 年 
初 正式 列 和 人 普通 高 等 教育 "十 一 五 ?国家 级 教材 规划 。 

2007 年 6 月 ,教育 部 高 等 学 校 信 息 安 全 类 专业 教学 指导 委员 会 成 立 大 会 
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婚 第 一 次 会 议 在 北京 胜利 台 开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委 
员 会 主任 单位 北京 工业 大 学 和 北京 电子 科技 和 学 院 主 办 ,清华 大 学 出 版 社 协 办 。 教 育 部 高 
等 学 校 信 息 安 全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安 全 专业 的 发 展 起 到 重要 的 指 
导 和 推动 作用 。2006 年 ,教育 部 给 武汉 大 学 下 达 了 “信息 安全 专业 指导 性 专业 规范 人 猎 制 ” 
的 教学 科 人 研 项 目 。2007 年 起 ,该 项 目 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 
组 织 实施 。 在 高 教 司 和 教 指 委 的 指导 下 ,项 目 组 团结 一 致 ,努力 工作 ,克服 困难 ,历时 5 
年 ,制定 出 我 国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 年 底 通 过 经 教育 部 高 等 
教育 司 理工 科教 育 处 授权 组 织 的 专家 组 评审 ,并 且 已 经 得 到 武汉 大 学 等 计 多 高 校 的 实际 
使 用 。2013 年 ,新 一 届 教 育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 成 立 。 经 组 织 审查 
和 人 研究 决定 ,2014 年 以 教育 部 高 等 学 校 信 息 安全 专业 教学 指导 委员 会 的 名 义 正式 发 布 
《 噩 等 学 校 信息 安全 专业 指导 性 专业 规范 六 由 清华 大 学 出 版 社 正式 出 版 )。 

2015 年 6 H ,国务院 学 位 委员 会 .教育 部 出 台 增 设 “ 网 络 空 间 安全 ”为 一 级 学 科 的 决 
定 , 将 局 校 培 养 网 络 空间 安全 人 才 提 到 新 的 高 度 。2016 年 6 月 ,中 央 网 络 安 全 和 信息 化 
领导 小 组 办 公 室 (下 文 简 称 中 央 网 信 办 ) .国家 发 展 和 改革 委员 会 .教育 部 、 科 学 技术 部 、 工 
业 和 信息 化 部 及 人 力 资 源 和 社会 保障 部 六 大 部 门 联合 发 布 (关于 加 强 网 络 安全 学 科 建 设 
和 人 才 培 养 的 意见 六 中 网 办 发 文 [2016J4 号 )。2019 年 6 月 ,教育 部 高 等 学 校 网 络 空间 安 
全 专业 教学 指导 委员 会 召开 成 立 大 会 。 为 贯彻 落实 《关于 加 强 网 络 安 全 学 科 建 设 和 人 才 
培养 的 意见 》, 进 一 步 深 化 高 等 教育 教学 改 早 ,促进 网 络 安全 和 学科 专业 建设 和 人 才 培 养 , 促 
进 网 络 空间 安全 相关 核心 诛 程 和 教材 建设 ,在 教育 部 高 等 学 校 网 络 空间 安全 专业 教学 指 
导 委 员 会 和 中 央 网 信 办 资助 的 网 络 空间 安全 教材 建设 读 题 组 的 指导 下 ,局 动 了 网 络 空间 
安全 重点 规划 丛书 ”的 工作 ,由 教育 部 高 等 学 校 网 络 空间 安全 专业 教学 指导 委员 会 秘书 长 
封 化 民 教 授 担 任 编 委 会 主任 。 本 规划 从 书 基 于 “ 高 等 院 校 信息 安全 专业 系列 教材 ”坚实 的 
工作 基础 和 成 果 、 阵 容 强 大 的 编审 委员 会 和 优秀 的 作者 队伍 ,目前 已 经 有 多 本 图 书 获得 教 
育 部 和 中 央 网 信 办 等 机 构 评 选 的 “普通 高 等 教育 本 科 国 家 级 规划 教材 “普通 高 等 教育 精 
品 教 材 “ 中 国 大 学 出 版 社 图 书 奖 ”和 “国家 网 络 安全 优秀 教材 奖 ” 等 多 个 奖项 ， 

“网 络 空间 安全 重点 规划 丛书 ?将 根据 人 《高 等 学 校 信 息 安 全 专业 指导 性 专业 规范 兴 及 
后 续 厂 本 ) 和 相关 教材 建设 诛 题 组 的 研究 成 末 不 断 更 新 和 扩展 ,进一步 体现 科学 性 、 系 统 
性 和 新 锻 性 ,及 时 反映 教学 改革 和 课程 建设 的 新 成 果 , 并 随 看 我 国 网 络 空间 安全 学 科 的 发 
展 不 断 完 善 ,力争 为 我 国 网 络 空间 安全 相关 和 学科 专业 的 本 科 和 人 研究 生 教 材 建 设 AR h 
与 人 才 培 养 做 出 更 大 的 贡献。 

我 们 的 E-mail 地 址 是 : zhangm@ tup.tsinghua.edu.cn, KRA: E. 
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没有 网 络 安全 ,就 没有 国家 安全 ;没有 网 络 安 全 人 才 ,就 没有 网 络 安 全 ， 

为 了 更 多 、 更 快 .更 好 地 培养 网 络 安 全 人 才 , 许 多 学 校 部 加 大 投入 ,聘请 
优秀 教师 ,招收 优秀 学 生 ,建设 一 流 的 网 络 空间 安全 专业 。 

网 络 空间 安全 专业 建设 需要 体系 化 的 培养 方案 .系统 化 的 专业 教材 和 专 
业 化 的 师资 队伍 。 优 秀 教 材 是 培养 网 络 空间 安全 专业 人 才 的 关键 基础 ,编写 
网 络 空间 安全 专业 优秀 教材 是 一 项 十 分 艰巨 的 任务 。 原 因 有 二 : 其 一 ,网 络 
空间 安全 的 涉及 面 非常 广 , 至 少 包 括 密码 学 .数学 .计算 机 .通信 工程 等 多 门 
学 科 , 因 此 ,其 知识 体系 庞杂 ,难以 梳理 ;其 二 ,网 络 空间 安全 的 实践 性 很 强 ， 
技术 发 展 .更 新 非常 快 ,对 环境 和 师资 要 求 也 很 高 。 

本 书 为 "入侵 检测 与 人 侵 防 御 ? 语 程 的 配套 实验 指导 教材 。 通 过 实践 教 
尝 , 让 和 尝 生 理解 和 擎 握 人 侵 检 测 系 统 与 人 侵 防 御 系 统 的 基本 配置 、 功 能 配置 、 
数据 分 析 功 能 ,从 而 培养 学 生 对 入侵 检测 系统 与 入 侵 防 御 系 统 的 部 车 、 应 用 
和 安全 运 维 能 力 。 

本 书 共 分 为 5 2t. 9B 1 章 介 绍 人 侵 检 测 与 人 侵 防御 系统 的 基本 配置 ,第 
2 帝 介 绍 人 侵 检测 系统 功 人 E 配 置 , 第 3 音 介 绍 人 侵 防 御 系 统 功能 配置 ,第 4 
章 介 绍 和 信 侵 检测 与 人 侵 防 御 系 统 数 据 分析 , 第 5 草 介 绍 综 合 诛 程 设计 。 
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统 的 基本 配置 


入 侵 是 指 在 非法 或 未 经 授权 的 情况 下 ,试图 存 取 或 处 理 系统 或 网 络 中 的 信息 ,或 破坏 
系统 以 及 网 络 , 从 而 导致 系统 或 网 络 的 可 用 性 、 机 密 性 和 完整 性 受到 破坏 的 故意 行为 。 和 人 
侵 检 测 是 对 人 侵 行 为 的 发 觉 。 人 侵 检 测 技术 是 为 傈 证 网 络 系统 的 安全 而 设计 与 配置 的 一 
种 能 够 及 时 发 现 并 报告 系统 中 未 授权 或 异 第 现象 的 拉 术 ,是 一 种 用 于 检测 计算 机 网 络 中 
违反 安全 策略 行为 的 技术 ,是 通过 数据 的 采集 与 分 析 实 现 对 和 人 侵 行 为 检测 的 技术 。 和 人 侵 
检测 系统 可 以 完成 人 侵 检 测 功能 。 

任何 一 个 单位 购买 人 侵 检 测 系统 设备 后 ,必须 完成 基本 的 系统 配置 .系统 的 特征 库 升 
级 、 网 络 接口 配置 , 才 可 以 使 用 入 侵 检 测 系 统 。 同 时 , 当 入 侵 检 测 系 统 配置 出 现 故 障 时 ,可 
以 恢复 配置 文件 。 


1.1 入 侵 防 御 系 统 基本 设置 实验 


【实验 目的 】 

管理 员 可 以 熟练 掌握 入侵 防御 系统 的 基础 设置 ,能 够 根据 实际 需求 使 用 HTTPS、 
SSH .HTTP 登录 方式 管理 系统 ,修改 系统 时 钟 .超时 时 间 和 系统 名 称 。 

【知识 点 】 

基础 设置 ,管理 员 账 号 ,登录 方式 .HTTPS、SSH、HTTP， 

[5 18355] 

A 公司 张 经 理 让 安全 运 维 工程 师 小 王 接手 入 侵 防御 系统 的 管理 工作 ,小 王 需要 熟悉 
入 侵 防御 系统 的 系统 设置 及 其 管理 角色 、 登 录 方 式 等 内 容 。 请 思考 应 如 何 帮助 小 王 熟 悉 
入 侵 检测 系统 的 系统 设置 中 的 内 容 。 

【实验 原理 】 


人 侵 防 御 系 统 文 持 基 于 图 形 用 户 界 面 (Graph User Interface. GUD 和 基于 命令 行 
(Command Line，CLI) 的 管理 方式 ,管理 员 可 通过 这 两 种 方式 对 人 侵 防 御 系 统 进 行 配置 、 


Egg 入 侵 检 测 与 入 侵 防 第 实验 指导 me— 


维护 和 管理 。 系 统 设置 主要 用 于 设置 系统 时 钟 、 管 理 登 录 超 时 时 间 和 系统 名 称 。 在 系统 
时 钟 中 ,可 以 设置 时 区 ,标准 日 期 .管理 主 机 当前 时 间 ,还 能 将 时 间 同 步 到 安全 网 大。 管理 
登录 超时 时 间 的 范围 为 60 一 65535。 系 统 名 称 要 求 由 字母 .数字 或 者 下 画 线 组 成 。 


【实验 设备 】 


安全 设备 : SecIPS 3600 人 侵 防 御 系 统 设 备 1 台 。 
EHL Ym: Windows 7 主机 1 &. 


【实验 拓扑 】 
入 侵 防御 系统 基本 设置 实验 拓扑 图 如 图 1-1 所 示 。 


z 


管理 机 : 10.0.0.22 GEI ，10.0.0.1 
图 1-1 人 侵 防 御 系 统 基 本 设置 实验 拓扑 图 


【实验 思路 】 

CD 采用 默认 的 HTTPS 方式 登录 设备 。 

(2) 修改 设备 系统 时 间 .超时 时 间 和 系统 名 称 。 

(3) 添加 用 户 userssh 登录 脓 略 , 仅 人 允许 以 SSH 方式 登录 系统 。 
(4) 添加 用 户 userhttp 登录 策略 , 仅 允 许 以 HTTP 方式 登录 系统 。 
【实验 步骤 了】 


(1) 在 管理 机 中 打开 浏览 需 , 在 地 址 栏 中 输入 人 侵 防 御 系 统 产 品 的 IP 地 址 https:// 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ), 进 入 和 人 侵 防 御 系 统 的 登录 界面 。 输 入 管理 员 的 用 户 
名 admin fI ZZ fid admin 登录 人 和 人 侵 防御 系统 ,如 图 1-2 所 示 。 
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1-2 人 侵 防 御 系 统 登录 界面 
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(2) 弹出 建议 修改 初始 密码 的 界面 , 单 击 " 取 消 ?” 按 钮 ,如 图 1-3 Bron. 


您 当前 密码 为 出 厂 初始 密码 ， 为 了 保障 系统 安全 ， 建 议 您 


修改 初始 密码 ， 请 确认 是 否 履 改 ! 


dal | 


图 1-3 登录 IPS 


(3) 登录 入 侵 防 御 系 统 设备 后 ,会 显示 入 侵 防 御 系 统 的 面板 界面 ,如 图 1-4 所 示 。 
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图 1-4 入 侵 检 测 系 统 的 面板 界面 


(4) 选择 面板 上 方 导航 芒 中 的 "管理 "一 "系统 设置 "来 单 命令 ,进入 "基础 设置 "界面 ， 
如 图 1-5 所 示 。 


B e see ess sees] 


sin E p 

ATEA CU Rl 

TEN E APEE 
HERRE 


x GMT«8:00 系统 时 间 [20170255 13:46:03 HF c ! 
用 于 设置 时 | zi 


系统 圭 壬 运行 时 间 | 0 中 19h-32mr52s[70372 seco | IH 
EBERÉD pron | 


种 -55535 种 。 
管理 吉 登 录 直 时 时 间 “| 500 


sanf |SadPS3500 


图 1-5 “基础 设置 "界面 
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(5) 选择 面板 右上 方 的 “ 冰 理 ”一 “系统 设置 "一 “管理 员 账 号 ”界面 采 单 命令 ,双击 
admin, 如 图 1-6 所 示 。 


状态 用 户 可 用 服务 
audit i active https-server ssh server 
config active https-server ssh server 


system active https-server ssh server 


1-6 “管理 员 账 号 ”界面 


(6) 在 界面 中 可 见 , 用 户 admin 已 被 默认 授权 SSH 可 用 服务 ,如 图 1-7 所 示 。 


Eli, 
(&) Active  ( ) block 
系统 = 


授权 用 户 可 用 服务 C] http-server [Wi https-server 


|] snmp-agent | | telnet-server | | https-ca-server 


LJ ftp 


1-7 管理 员 账 号 


【实验 预期 】 


(1) 成 功 配 置信 侵 防御 系统 时 间 、 超 时 时 间 和 系统 名 称 。 
(2) 用 户 userssh 成 功 以 SSH 登录 方式 访问 和 人 侵 防御 系统 平台 。 
(3) 用 户 userhttp 成 功 以 HTTP 登录 方式 访问 人 侵 防 御 系 统 平台 。 


【实验 结 采 】 


1. 基础 设置 
CD 选择 面板 上 方 导航 栏 中 的 “管理 ”>“ 系 统 设置 ”, 进 入 “基础 设置 "界面 菜单 命令 ， 
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如 图 1-8 所 示 。 


系 绕 时 间 [201701245 1x 46:03 


pet aren aal) | ats Bic? mr5zs[7 (77 secor 
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mXRE£R | SacdPS3500 


图 1-8 “基础 设置 ?界面 


(2) 在 "基础 设置 ?界面 中 , 单 击 “系统 时 钟 ? 右 侧 的 “操作 ?按钮 ,编辑 系统 时 间 ,如 
图 1-9 所 示 。 


RHPEENHE, MEH Hat 
HR ARE. 


Uu Es [E Hy m 
EGEBIEHEB: : 
种 -65535Fk, 


图 1-9 编辑 系统 时 间 


(3) 在 "时间 设 置 * 界 面 中 ,设置 “标准 日 期 ?为 *2017/12/15 00:00:00”, 如 图 1-10 所 示 。 
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图 1-10 "ig E EE" E IBI 


(4) 单 击 “ 确 定 ” 按 钮 ,人 返回 到 “基础 设置 "界面 。 填 入 “省 理 员 登录 超时 时 间 ” 为 1000. 
“系统 名 称 ” 为 IntrusionPrevention ,如 图 1-11 所 示 。 

(5) 选择 面板 上 方 导 航 芒 中 的 "管理 ”一 "系统 设置 ?来 单 命 令 ,进入 "基础 设置 ? 异 面 ， 
可 见 成 功 修改 的 设备 信息 ,如 图 1-12 所 示 。 
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图 1-11 “超时 时 间 和 系统 名 称 ” 界 面 
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图 1-12 成 功 修 改 的 设备 信息 


(6) 综 上 所 述 , 成 功 修改 系统 时 钟 和 设备 信息 ,返回 正确 结果 ,满足 预期 。 


2. FH PA userssh 仅 可 以 以 SSH 方式 登录 系统 

d) 选择 面板 右上 方 的 “管理 ”> “系统 设置 >“ 管理 员 账 号 ”界面 菜单 命令 , 单 击 左 
上 侧 的 “十 ”按钮 ,新 建 一 个 省 理 员 账号 。“ 管 理 员 账号 ”界面 中 ,“ 用 户 名 ”中 都 填写 
userssh, “口令 ”和 “确认 口令 ”中 填写 qwert12345,“ 人 角色” 选择“ 审计 ”, “授权 用 户 可 用 服 
务 " 一 栏 仅 选 中 ssh 选项 ,其 余 保持 默认 配置 , 单 击 “ 确 定 ” 按 钮 ,如 图 1-13 所 示 。 


(e Active C) block 


T 


授权 用 户 可 用 服务 | Èl http-server | | https-server 


LC] snmp-agent [| | telnet-server | | https-ca-server 


设置 授权 FTP C ftp) 


1-13 添加 userssh 登录 策略 
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(2) EB HHR MXE TIT Xshell 5。 如 弹出 “会 话 ” 界 面 , 则 关闭 该 界面 。 在 Xshell 5 
界面 中 选择 “文件 ”一 “新 建 ”" 亲 单 命令 ,新 建 连接 ,如 图 1-14 所 示 。 


SHA SREO EEV IAM 选项 卡 (8) SOW) RH) 
| &-5-Q-A- e 9:83 i 59-9 
| e 断 开 (D) Akt+C L 
:| 三 ”重新 连接 (C) Ctrl+Shift+R F- 
重新 连接 所 有 人 
另存 为 (A).. 


FA... | 
导出 (E)... xshell prompt. 


3J Computer, Inc. All rights reserved. 


打印 (P).. 
HMV) 
页 面 设置 (U)... 
AT) 
日 志 (G) 
FEER) 
BH 


仅 棕 文 本 发 送 到 当前 选项 卡 。 三 
HFSS. m 5, t4 CAPNUM . 


图 1-14 新 建 连接 


(3) 在 “新 建 会 话 属 性 ”界面 中 ,“ 名 称 ” 中 填 和 “SSH 登录 人 和 人 侵 防御 系统 ”协议 ?选择 
SSH,“ 主 机 ”中 填 入 10.0.0.1( 以 实际 设备 IP 为 准 ) ,其 他 保持 默认 配置 ,如 图 1-15 所 示 。 


SSH SEA [SPA A N 


D RRA AURIS E ES TOME 
FRV: P^ 限制: gs 


TCP3XIm 
feFiNagle 4U) 


图 1-15 设置 会 话 属 性 
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(4) 单 击 “确定 ”按钮 ,关闭 “新 建 会 话 属 性 ”界面 。 在 弹出 的 "会话 ”界面 中 单 击 “SSH 
登录 入 侵 防 御 系 统 ”, 之 后 单 击 " 连 接 ” 按 钮 ,如 图 1-16 所 示 。 


Dre -di| Ham X ms |o [E v 


RED Sr Eo EE CS) 


图 1-16 ”连接 会 话 


(5) 在 弹出 的 “SSH 安全 转告 ?看 面 中 单 击 "一 次 性 接受 "按钮 ,如 图 1-17 所 示 。 


IM 未 知 主机 密 钥 


192.168. 1.40 (DI: 27) 的 主机 密 钥 未 在 本 地 主机 密 铀 数据 库 中 注册 。 下 次 
EB ERRARE RUBRI 


ERWE (MD5 核验 和 ): 
ssh-rsa 2048 2f:fb:f0:d8:0f:d6:c8:b8:6b:04: 55:0d:f8: 1F:ae: 5f 


3855 IEEE LEER 


接受 并 保存 (6) 
图 1-17 SSH 安全 警告 


(6) 在 弹出 的 “SSH 用 户 名 ”界面 中 ， 请 输入 登录 的 用 户 名 "中 和 蔷 和 人 userssh, 如 图 1-18 
Brz 


远程 主机 : 192.168.1.80:22 (SSHEGR A BB V 
RARAHI: 55H2, Opzoon 7.3 


BS ERE: 
回 记 住 用 户 名 人 


图 1-18 输入 用 户 名 


(7) 单 击 “确定 ”按钮 ,在 弹出 的 “SSH 用 户 身 份 验证 ”界面 中 ,“ 密 码 ” 填 入 
qwert12345 ,如 图 1-19 所 示 。 

(8) 单 击 “ 确 定 ” 按 钮 ,连接 入 侵 防 御 系 统 , 输 入 命令 show ?” 按 Enter 键 执行 ,返回 
正确 结果 ,如 图 1-20 所 示 。 


BE 第 ] 章 入侵 检测 与 入 侵 防 第 系统 的 基本 配置 mem 


192.168.1.80:22 (SSH 登 录 六 侵 防 御 | e 


us x 
登录 名 : 
RARE: 


RE Pak FH SMANET RAEES R aa o 


| NEM "| [ 3996... -] 
一 | 


55H2, Opzoon 7.3 


(8) Password(P) 
密码 (W): 


© Public Key(U) 
Fa PSSESRO: 


Z(H): 


Hj .1j 


Keyboard Interactive(I) 


FAREN 


记 住 密码 (R) 


1 milieu diiit 


TENTER. 
Keyword: 


"—— 
zone 


aaa 
acl 

action-map 
aggregating-interface 
alg 

anti-isolate 
antı-spam 

anti-virus 
app-security 
appmgr 

arp 

wg th- Limit 


bgp 
blacklist 
br-statlstics 
bridge-forward- 
bypass 
client-app 
clock 


table 


仅 将 文本 点 送 到 当前 选项 卡 
ssh;//admin192.168.1.80:22 


Fg PE piu e 


1-19 


detectguard 
Security area 


Keyword: 
Keyword: 
Keyword: 
Keyword: 
Keyword: 
Keyword: 
Keyword: 
Keyword: 
Keywo E 
Keyword: 
Keyword: 
Keyword: 
Keyword: 
Keyword: 
Keyword: 
Keyword: 
Keyword: 
Keyword: 
Keyword: 


HAOS 


Show AAA info 
Access Control List(ACL) 
Show actlon-map 


link-aggregation lintertace 


Application Layer Gateway(ALG) 


Proxy mail configuration 

tp server addr 
ftp user 
Application security profile 
application at 
Address Resolution Protocol 
line rate 
Border Gateway Protocol 
Set properties of blockip 
Statistic info of drv 
bridge-forward-table 
bypass function 
client-app 
Display the system clock 


xterm Į 88x25 25,17 


图 1-20 成 功 连接 人 侵 防 御 系 统 


(9) 综 上 所 述 ,成 功 连接 入侵 防范 系统 ,返回 正确 结 打 ,符合 


3. FH P^ userhttp 仅 可 以 以 HTTP 方式 登录 系统 
”一 “系统 设置 ?一 ”管理 员 账 号 ”界面 染 单 命令 ,双击 
userhttp。 在 “管理 员 账 号 ”界面 中 ,“ 用 户 名 ”中 都 填写 userhttp， 口 令 ” 和 ”确认 口令 ”中 
部 填写 qwert12345,“ 角 色 ” 选 择 “ 审 计 ”,“ 授 权 用 户 可 用 服务 ”一 
其 余 你 持 默 认 配 置 , 单 击 “ 确 定 ” 按 钮 ,如 图 1-21 Bron. 


(1) 选择 面板 右上 方 的 “管理 


tributes configuration 


L&E t4 


栏 仅 选中 “http-server” 选 
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(m) Active (`) block 


角色 审计 ed 
授权 用 户 可 用 服务 [I ssh 回 https-server 


[.] snmp-agent [ | telnetserver [ | https-ca-server 


aw | 


(2) 在 管理 机 中 打开 浏览 旧 , 在 地 址 柱 中 输入 入 侵 防 御 系 统 产 品 的 IP 地 址 http:// 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ) ,返回 正确 结果 ,如 图 1-22 所 示 。 


SeclPS 3600 人 侵 防 御 系 统 


@ vx 


1-22 以 HTTP 方 式 登 录 人 侵 防 御 系 统 


G) 综 上 所 述 ,成功 以 HTTP 方式 登录 入 侵 防 御 系 统 ,人 返回 正确 结果 ,符合 预期 。 


【实验 思考 了 
COD 公司 现在 需要 小 王 增加 管理 员 用 户 以 HTTPS 的 方式 登录 ,小 王 应 该 对 管理 员 
进行 怎样 的 调整 ? 


(2) 思考 一 下 ,如 来 小 王 要 取消 入 侵 防 御 系 统 设备 的 时 区 ,他 应 该 怎么 做 ? 
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第 1 章 入侵 检测 与 入 侵 防 御 系 统 的 基本 配置 
六 入 侵 防御 系统 维护 升级 实验 
【实验 目的 】 


在 SecIPS 3600 Web 页 面 ,通过 导入 软件 升级 包 、License FRE Product FRE YF 
征 库 升 级 包 对 人 侵 防 御 系 统 进行 维护 和 升级 。 


【知识 点 】 
维护 升级 中 的 Product 升级 、License 升级 ,了 解 系统 升级 .特征 库 升 级 。 
[5 z 18 3^] 


A 公司 购买 的 入 侵 防 御 设备 在 部 署 前 需要 导入 设备 的 产品 文件 和 软件 版 权 许可 证 ， 
方 可 正常 使 用 设备 ,安全 运 维 工程 师 小 王 需 要 导入 相关 文件 激活 设备 ,并 了 解 设备 的 系统 
升级 .特征 库 升级 方式 。 请 恩 考 ,应 如 何 激活 入 侵 检测 系统 设备 ， 

【实验 原理 】 


当 IPS 软件 有 新 版 本 时 ,可 以 在 Web 管理 页 面 中 对 IPS 进行 升级 操作 ,以 便 用 户 方 
便 、 及 时 地 使 用 不 断 发 布 的 软件 升级 包 、License 升级 包 、 特 征 库 升级 包 , 对 设备 的 性 能 和 
功能 进行 扩充 。 


【实验 设备 】 


安全 设备 : SecIPS 3600 人 侵 防 御 系 统 设 备 1 台 。 
主机 终端 : Windows XP SP3 主机 1 台 ,Windows7 主机 1 人 台 。 


【实验 拓扑 了 
入 侵 防御 系统 维护 升级 实验 拓扑 图 如 图 1-23 所 示 。 


WXPSP3 : 172.16.1.100/24 管理 机 : 10.0.0.22/24 
图 1-23 ”入侵 防御 系统 维护 升级 实验 拓扑 图 


【实验 思路 】 
(1) 配置 IPS 网 络 接口 。 
(2) 系统 升级 。 
(3) License 升级 。 
11 


m 入侵 检 测 与 入 侵 防 御 实 验 指导  me———— 


(4) Product 升级 。 
(5) 特征 库 升 级 。 


(1) 在 管理 机 中 打开 浏览 器 ,在 地 址 蒋 中 输入 SecIPS 3600 Web 登录 界面 地 址 
https://10.0.0.1( 以 实际 设备 IP 地 址 为 准 ) ,进入 SecIPS 3600 的 登录 界面 ,输入 管理 员 
HPZ admin 和 密码 admin, 单 击 “ 登 录 ? 按 钮 ,登录 SecIPS 3600 Web 页 面 。 

(2) 在 弹出 的 “提示 修改 密码 ”界面 中 单 击 “取消 ?按钮 。 

(3) 登录 到 SecIPS 3600 设备 后 ,会 显示 SecIPS 3600 的 面板 界面 。 将 鼠标 放 在 “网 
络 ” 上 ,在 显示 的 子 末 单 中 单 击 “网 络 接口 ”按钮 。 

(4) 通过 配置 接口 IP 地 址 管理 设备 ,配置 完成 用 户 通 过 HTTPS HAD iiH B 
理 地 址 ,在 Web 页 面 中 管理 IPS 设备 ,在 “网 络 接口 ”界面 单 击 “ 接 口 IP” 按 钮 ,之 后 单 击 
“添加 ?按钮 添加 新 的 接口 IP, 如 图 1-24 所 示 。 


1040.0-1/255.255.255.0 


1821638.2:80/255.255.0.0 


图 1-24 打开 网 络 接口 


(5) 配置 “Ge0/07/2” “接口 IP” 选 择 “Ge0/07/2”,*“IP 地 址 ”中 输入 172.16.1.80, “HE 
码 ” 选 择 255.255.255.0 ,其 他 选项 保持 默认 ,如 图 1-25 所 示 。 


amm 


172.15.1.80 


Ha E O 


VRRPEBID | 


图 1-25 配置 接口 IP 界面 
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I 13 入 侵 检 测 与 入 侵 防 御 系 统 的 基本 配置 。 mm 


【实验 预期 】 


可 以 通过 PC 对 SecIPS 3600 系统 维护 升级 ,导入 系统 升级 文件 、License 升级 文件 ， 
Product 文件 成 功 , 特 征 库 离线 升级 成 功 。 


【实验 结果 】 
CD 登录 实验 平台 对 应 的 实验 拓扑 左 侧 的 WXPSP3 虚拟 机 ,如 图 1-26 所 示 。 


GEI : 10.0.0.1/24 


WXPSP3 . 172.16.1.100/24 管理 机 ， 10.0.0.22/24 
图 1-26 登录 左 侧 的 WXPSP3 虚拟 机 


(2) 打开 浏览 器 ,以 火狐 浏览 器 为 例 , 在 地 址 栏 中 输入 SecIPS 3600 Web 的 登录 界面 
地 址 https://172.16.1.80( 以 实际 设备 IP 地 址 为 准 ) ,进入 SecIPS 3600 的 登录 界面 ,首次 
进入 IPS Web 界面 宕 要 在 浏览 疾 中 单 击 “ 高 级 ”按钮 ,如 图 1-27 所 示 。 


你 的 连接 不 安全 


i. m 80 的 管理 员 未 正确 配置 网 站 。 为 训 倪 您 的 信息 被 窃 ，Firefox 没有 建立 与 该 网 


图 1-27 首次 进入 IPS Web 界面 


(3) 单 击 高 级 下 拉 界 面 , 单 击 " 添 加 例外 ?按钮 ,如 图 1-28 所 示 。 

(4) 在 弹出 的 窗口 中 单 击 “ 确 认 安 全 例外 ”按钮 ,如 图 1-29 所 示 。 

(5) 确认 安全 例外 后 ,进入 IPS Web 登录 界面 ,登录 的 用 户 名 为 admin, 密码 为 
admin, 确 认输 入 无 误 后 单 击 “ 登 录 ” 按 钮 ,如 图 1-30 所 示 。 

(6) 进行 系统 维护 升级 。 进 入 Web 界面 后 将 鼠标 放 到 “管理 ”上 ,在 显示 的 子 菜 单 上 
单 击 “ 维 护 升级 ”进入 维护 升级 界面 ,如 图 1-31 所 示 。 

C) 在 选择 的 “维护 升级 ”界面 选择 “系统 升级 ”, 选 择 导 入 “C:\Update” 文 件 夹 里 的 
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入 侵 检 测 与 入 侵 防 第 实验 指 握 


TFD 编辑 里) EEU MEG) #F 0) 
| X 不 安全 的 连接 


L) httpz://1T2 16.1.80 


报告 此 类 错误 以 帮助 Mozilla 识别 和 拦截 恶意 站 点 


172. 16. 1. 80 使 用 了 无 效 的 安全 证 书 。 

该 证 书 因 为 县 网 发 看 证 书 未 知 向 不 被 信任 。 
该 服务 器 9 能 未 故 送 相应 的 中 国 证 书 ， 

可 能 需要 导 A 一 个 额外 的 根 十 书 。 

该 证 书 对 名 称 172. 16. 1.80 无 效 。 


错误 代码 : SEC ERROR UNKNOWN ISSUER 


EE xi::0-: = 有 L .. 


图 1-28 Web 登录 添加 例外 


Doo BREE Firefox 如 何 来 标识 此 站 点 。 
Ll DRMR. PAURA AARMA SERRER. 


| 
证 书 状态 

此 站 点 尝试 使 用 无 效 的 信息 来 标识 自身 。 
错误 的 站 点 EDT 


证 世 尾 于 其 地 网 站 , 有 可 能 是 某 人 起 要 的 装 成 此 网 站 ， 


因为 无 法 确认 此 证 书 是 由 受信 任 的 发 行 机 构 以 实 全 的 方式 签署 ， 所 以 无 法 信任 此 证 书 。 


[v] 永久 保存 此 例外 QD 


图 1-29 确认 安全 例外 


文件 V500H010P003D032B18 x86-XR64 64874 20171116 13h.rom, 确 认 无 误 后 单 击 
“确定 ”按钮 ,升级 完成 后 的 版 本 为 B18, 如 图 1-32 IR. 
(8) 在 弹出 的 窗口 中 单 击 “确定 ”按钮 ,如 图 1-33 所 示 。 


所 示 。 

(10) 导入 系统 升级 文件 成 功 后 , 单 击 界 面 右上 和 角 的 “保存 配置 ”按钮 ,如 图 1-35 
所 示 。 

(11) 在 弹出 的 "配置 保存 成 功 ? 界 面 中 单 击 "确定 ?按钮 ,如 图 1-36 所 示 。 
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SeclPS 3600 人 侵 防 御 系 统 


Q) vx 


afa admin 


Pp TETE 


[USB 身份 识别 


图 1-30 SecIPS 3600 登录 界面 


NGIPS 
YT EE 


INBOUND SERES 
224,91 Kbps i 
9.02 Kbps 

9.02 Kbps 

ü 


图 1-31 维护 升级 


HFR 
xp HESEVSOOHOLOPOOSDO32B18-HR HTiígcBeESRERDE ,Om 


| AE, HEETE. 
BAIN V50OHO10PDO3D032B18 x86- xem 


XR64 64874 20171115 13h.rom 
一 用 于 得 看 历史 升 甬 承志 号 


版 本 升级 记录 导出 的 择 作 ， 
ERES FIERE. 


图 1-32 导 人 升级 文件 
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图 1-33 ”确定 升级 


图 1-34 维护 升级 成 功 


Pi admin d H m 
NGIPS 
ESCIUI Ed: 


mimm v5ooHDIO0POO3DO032B18-HR 


THESE d 


V500HO10PD03D032B18 xBG-XRG4 64874 20171116 13hrom 2018/1/4 14:43:32 
VSO0OHOTOPOOJDO32B18 xBG-XR64 64874 20171116 13h.rom 2017/12/26 100053 
VS0OHOTOPOO3DO32B07 xB6-XR64 59738 20160111 ü9h.rom 2017/10/23 153822 


图 1-35 ”继续 保存 设置 


(12) 保存 配置 成 功 后 需要 单 击 界面 左下 角 的 “重启 系统 ”按钮 ,如 图 1-37 Bron. 
(13) 在 弹出 的 “ 重 局 提示 ”界面 中 单 击 “ 确 定 ” 按 钮 ,如 图 1-38 所 示 。 
(14) 在 “维护 升级 ?界面 选择 “License 升级 ”, 导 人 license 文件 IPS_D25_LIC.enc 并 


图 1-36 保存 设置 


ug imuse EHE d v SDOHUTUPOUSDOSZ2BIB-HR 


V500HO010POOSDO32B18 x86-XR64 641874 20171116 l3h.rom 2018/1/4 11:45:32 
2017/12/26 10:44:53 


2017/10/23 15:382 
2017/10/23 163714 


V300HOIOPOUZDOS2B18 xS6-XR64 61374 20171116 13h.rom 
V3O0HO010PCO3D032B07 x86-XR64 50738 20100111 üBh.rom 
V35D0HOTIOPOUZDOG2BU7 xS6-XR64 59738 20160111 OSh.rom 


图 1-37 重启 系统 


图 1-38 ”确定 重启 


添加 备注 ,确认 无 误 后 单 击 “ 确 定 ? 按 钮 ,如 图 1-39 Bron, 
(15) 在 弹出 的 提示 窗口 中 单 击 “ 确 定 ” 按 钮 ,如 图 1-40 所 示 。 
(160 升级 完成 后 会 显示 新 的 License 信息 和 旧 的 License 信息 , 单 击 “ 确 定 ” 按 钮 ,如 


xl 1-41 所 示 , 
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m Aiea k 


lIcensefess 


abs 


UID 5054753F57148T0ED9S9BADF 34828D 525 


WEDA Sli consed ER 
"BAI censestie 
2 


图 1-39 License 升级 


图 1-40 W License 升级 


WEBY xS licenser t 


The date of old license Is: 2017-12-19 09:54:45 
The date of new license is: 2017-12-19 09:52:53 
license too old 


2018/1/4 14:53:31 


图 1-41 License 升级 成 功 后 的 提示 


(17) 导入 License 文件 后 需要 单 击 界面 右上 和 角 的 “保存 配置 ”按钮 ,如 图 1-42 所 示 。 
(18) 在 弹出 的 “保存 配置 成 功 ” 界 面 中 单 击 “ 确 定 ” 按 钮 ,如 图 1-43 所 示 。 

(19) 保存 配置 后 需要 单 击 界面 左下 角 的 “ 重 局 系统 ”按钮 ,如 图 1-44 Bron. 

(20) 在 弹出 的 “确认 重 司 ”界面 中 单 击 “ 确 定 ” 按 钮 ,如 图 1-45 所 示 。 
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min ü mM m E 
rn dit EE TA 1E] IHR 


NGIPS 
人 侵 防御 系统 


| wu | FBE895131F432C13 
o Sarane 


图 1-42 再 次 保存 配置 


1-43 保存 配置 成 功 


p 


m lot. CR 
"SAXlcenseXtE | = | 


TE | | 


2018/1/8 17:7-20 
2018/1/8 1755-34 
2018/1/8 1520-8 
2018/1/4 14:53:31 
2017/12/10 14:204 


图 1-44 继续 License 升级 
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加 入侵 检测 与 入 侵 防 御 实 验 指 导 mex xÁex 


图 1-45 确定 重启 


(21) 在 “维护 升级 ”界面 中 选择 “Product 升级 ”, 导 入 “C:\Update” 文 件 夹 里 加 密 的 
生产 文件 IPS D525 pd.enc 并 添加 备注 ,确认 无 误 后 单 击 “ 确 定 ” 按 钮 ,如 图 1-46 所 示 。 


图 1-46 ”再 次 License 升级 


(22) 在 弹出 的 窗口 中 单 击 “ 确 定 ” 按 钮 。 
(23) 升级 成 功 后 会 弹出 提示 窗口 , 单 击 “ 确 定 ” 按 钮 ,如 图 1-47 所 示 。 


upgrade product success. 


图 1-47 Product 文件 升级 成 功 


(24) 导入 加 密生 产 文件 成 功 后 需要 单 击 升级 界面 右上 角 的 “你 存 配 置 ” 按 钮 ,如 图 1-48 
所 示 。 
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NGIPS 


Aamin 


2018/17/15 15:50:20 


201HJ1/H 15:20«46 
201 B/l/4 15:4-5 adman IPS [525 pd 


l-48 单 击 “保存 配置 ”按钮 


(25) 在 弹出 的 “保存 配置 成 功 ”* 界 面 中 单 击 “确定 ”按钮 ,如 图 1-49 所 示 。 


图 1-49 保存 配置 成 功 


(26) 保存 配置 成 功 后 需要 单 击 升级 异 面 左 下 角 的 “ 重 司 系统 ?按钮 ,如 图 1-50 Bros, 


IPS D525 pd 


Fs D525 PD 


图 1-50 重启 系统 


(27) 在 弹出 的 “ 重 局 ”界面 单 击 “ 确 定 ” 按 钮 ,如 图 1-51 Bron. 
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图 1-51 确定 重启 


(28) 选择 系统 特征 库 在 线 升级 。 在 “维护 升级 ”界面 中 选择 “特征 库 升 级 ”, 在 线 升级 
选项 保持 默 认 , 单 击 立 即 升 级 "按钮 ,如 图 1-52 所 示 。 


图 1-52 ”离线 升级 


(29) 在 弹出 的 窗口 中 单 击 “确定 ”按钮 。 
(30) 升级 完 后 会 弹出 窗口 , 单 击 “确定 ?按钮 ,使 用 在 线 升 级 功能 需要 连接 公 网 服务 
f ,实验 室 使 用 的 是 独立 局 域 网 ,所 以 升级 失败 ,如 图 1-53 所 示 。 


Hint The IPS upgrade failed. Please check your network connection . 
Hint The APP upgrade failed. Please check your network connection. 
Hint: WebTrojan upgrade failed. Please check network connection . 


Hint The AV upgrade falled. Please check your network connection . 


Hint The AS upgrade failed. Please check your network connection . 
Hint WebMail upgrade failed. Plealit check your network connection. | 


图 1-53 特征 库 在 线 升级 结果 


(31) 在 特征 库 升级 界面 导入 特征 库 文 件 , 确 认 无 误 后 单 击 “升级 ”按钮 ,如 图 1-54 
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所 示 。 


B dË 
summ (| — ux — — |Q aas 
2018/01704 14:26:20 AIRED AEE 1.0.2.7 


2018/01/04 14:25:52 AIRED AIHER 1.0.2.7 
2015/0770 14:26:01 AIRD AREE 1.0.2.8 


l-54 导入 特征 库 文 件 


(32) 在 弹出 的 窗口 中 单 击 “ 确 定 ” 按 钮 ,如 图 1-55 所 示 。 


1-55 ”提示 界面 


(33) 升级 完成 后 单 击 界面 右 侧 的 “刷新 ?按钮 ,可 以 查看 升级 记录 ,如 图 1-56 所 示 。 


2018/01/04 14:26:20 


2018/01/04 14:25:52 


2015/07/10 14:26:01 


1-56 ”特征 库 离线 升级 


(34) 综 上 所 述 , 在 Web 界面 配置 好 网 络 接口 后 ,可 以 在 Web 界面 完成 对 IPS 的 维 
护 升 级 ,满足 预期 。 
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【实验 思考 】 


COD 本 实验 在 维护 升级 中 导入 的 非 标 准 文 件 对 设备 的 使 用 将 会 有 怎样 的 影响 ? 
(2) 如 果 高 版 本 出 现 问 题 ,能 否 回 退 到 低 版 本 ? 


13 ”入侵 防御 系统 网 络 接口 配置 实验 


【实验 目的 】 

实现 IPS 的 串 行 部 署 ,将 IPS 部 署 在 信息 系统 的 关键 节点 。 

【知识 点 】 

桥接 口 .接口 IP， 

[5 2:18 55 ] 

A 公司 采购 了 一 台 入 侵 防 御 系 统 , 小 王 为 设备 的 管理 员 ,领导 要 求 小 王将 该 设备 部 
署 在 公司 的 关键 业务 节点 中 ,请 思考 应 如 何 部 署 该 设备 。 

【实验 原理 】 


入 侵 防 御 系 统 (IPS) 的 接口 用 来 与 网 络 中 的 其 他 设备 交换 数据 ,IPS 支持 物理 接口 和 
逻辑 接口 ,物理 特性 配置 中 有 以 太 网 接口 .VLAN 子 接口 .逻辑 桥接 口 .逻辑 链 路 聚合 接 
口 共 4 个 表 项 。 物 理 接 口 是 真 实 存在 的 接口 ,如 以 太 网 接口 。 逻 辑 接口 指 能 够 实现 数据 
转发 功能 但 物理 上 不 存在 .需要 通过 配置 建立 的 接口 ,如 逻辑 接口 VLAN ,人 逻辑 桥接 口 、 
逻辑 链 路 聚合 接口 。 逻 辑 虚 接 口 共用 物理 接口 的 物理 层 参 数 , 又 可 以 分 别 配置 各 目的 链 
路 层 和 网 络 层 参数 。IPS 人 允许 用 户 创建 依赖 于 物理 接口 的 逻辑 接口 ,为 用 户 提 供 了 很 强 
的 灵活 性 。 

管理 员 可 通过 配置 接口 IP 地 址 管理 设备 ,配置 完成 用 户 通过 https 方式 访问 设备 的 

管理 地 址 ,在 Web 页 面 中 管理 IPS 设备 。 

【实验 设备 】 

安全 设备 : SecIPS 3600 人 侵 防 御 系 统 设备 1 人 台 。 

网 络 设备 : 路 由 器 1 台 。 

ENLA m: Windows 2003 SP2 主机 1 人 台 、Windows XP SP3 主机 1 台 、Windows 7 € 
机 1 合 

【实验 拓扑 】 

人 入侵 防御 系统 网 络 接口 配置 实验 拓扑 图 如 图 1-57 所 示 。 


24 


Fa 第] — 入 侵 检 测 与 入 侵 防 御 系 统 的 基本 配置 ”wa 


172.16.1.1/24 110.10.1.1/24 


WXPSP3: 172.16.1.100/24 74CMS(Web 服 务 器 ): 
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管理 机 : 10.0.0.22 
图 1-57 ”人 人 侵 防御 系统 网 络 接口 配置 实验 拓扑 图 


【实验 思路 】 


(1) 配置 桥接 口 。 
(2) 配置 网 络 接口 。 
(3) 配置 安全 策略 。 


【实验 步 又 】 


d) 在 管理 机 中 打开 浏览 絮 , 在 地 址 栏 中 输入 入 侵 防 御 系 统 产 品 的 IP 地址 https:// 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ), 进 入 入 侵 防 御 系 统 的 登录 界面 。 输入 管理 员 的 用 户 
名 admin 和 密码 admin 登录 人 入侵 防御 系统 。 

(2) 当 弹 出 修改 密码 的 窗口 时 , 单 击 “ 取 消 ” 按 钮 。 

(3) 登录 和信 侵 防御 系统 设备 后 ,会 显示 入 侵 防御 系统 的 面板 界面 。 

(4) 选择 面板 上 方 导航 栏 中 的 “网 络 ”>“ 网 络 接口 ”菜单 命令 。 

(5) 在 “网 络 接口 ”界面 , 单 击 “逻辑 桥接 口 ” 的 “十 ”按钮 ,增加 桥接 口 。 

(6) 在 “编辑 逻辑 桥接 口 * 界 面 中 输入 “桥接 口 ID” 为 1, 选 中 "局 用 桥接 口 ?>，“ 绑 定 接 
口 ” 选 择 “Ge0/0/2,Ge0/0/3”, 如 图 1-58 所 示 。 


编辑 膛 辑 桥 接口 
* 桥 接口 ID E] 
启用 桥接 口 


流 统计 标识 z 


REEL | Ge0/0/2. Ge0/0/3 ~ 


备注 


图 1-58 ”编辑 逻辑 桥接 口 
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(7) 单 击 “ 确 定 ” 按 钮 ,返回 到 “网 络 接口 "界面, 可见 成 功 增 加 的 桥接 口 。 

(8) 在 “网 络 接口 ”界面 中 双击 “以 太 网 接口 ”的 “Ge0/0/2”。 

(9) 在 “编辑 以 太 网 接口 ?界面 中 ，， 流 统计 标识 ?选择 inside, 其 他 保持 默认 配置 。 

(10) 单 击 “确定 ”按钮 ,返回 到 “网 络 接口 "界面 ,再 双击 “以 太 网 接口 ”的 “Ge0/0/3”， 
在 弹出 的 “编辑 以 太 网 接口 "界面 中 ,“ 流 统计 标识 ”选择 outside, 其 他 保持 默认 配置 。 

(11) 单 击 “确定 ”按钮 ,返回 到 “网 络 接 口 ”* 界 面 ,可 见 配置 成 功 的 以 太 网 接口 。 

(12) 选择 面板 上 方 导 航 栏 中 的 “资源 ”一 “资源 对 象 ”* 有 亲 单 命令 。 

(13) 在 “资源 对 象 ” 界 面 中 , 单 击 “ 地 址 对 象 ” 的 “十 ”按钮 ,增加 地 址 对 象 。 

(14) 在 “地 址 对 和 象 维 护 界 面 " 中 ,输入 “名 称 ” 为 “地 址 1”,“ 地 址 ”下 一 行 设置 172.16.1.0、 
255.255.255.0, 其 他 保持 默认 配置 。 

(15) 单 击 “ 确 定 ” 按 钮 ,返回 到 “资源 对 象 * 界 面 。 单 击 “ 地 址 对 象 ” 的 “十 ”按钮 ,增加 
地 址 对 象 。 

(16) 在 “地 址 对 和 象 维 护 ” 界 面 中 ,输入 “名 称 ” 为 地址 2”,“ 地 址 ”下 一 行 设置 110.10.1.0、 
255.255.255.0, 其 他 保持 默认 配置 。 

(17) 单 击 “确定 ”按钮 ,返回 到 “资源 对 象 * 界 面 ,可 见 成 功 增加 的 地 址 对 象 。 

(18) 选择 面板 上 方 导航 栏 中 的 “策略 ”>“ 安 全 策略 ”菜单 合 令 。 

(19) 在 "安全 策略 ?界面 中 , 单 击 “ 安 全 策略 ?的 “十 ”按钮 ,增加 安全 策略 。 

(20) 在 “新 建 策 略 ” 界 面 中 ,输入 “策略 名 称 ” 为 policyl ,在 “策略 条 件 ” 的 源 中 ,“ 源 IP 
对 象 ” 选 择 “ 地 址 1”, 其 他 保持 默认 配置 。 

(21) 单 击 “ 策 略 条 件 ” 的 “目的 ”按钮 ,“ 目 的 IP 对象” 选择“ 地址 2”, 其 他 保持 默认 
配置 。 

(22) 单 击 “ 生 略 条 件 ” 的 “动作 ”按钮 ,选中 “操作 ”的 “接受 ”。 

(23) 单 击 “ 确 定 ” 按 钮 ,返回 到 “安全 素 上 略 "界面 ,可 见 成 功 增 加 的 安全 条 上 略 。 

(24) 选择 面板 左 侧 导航 栏 中 的 “管理 ”>“ 全 局 配置 ”菜单 命令 。 

(25) 在 “全 局 配置 ”界面 中 , 单 击 确保 “日 志 纪 录 开 关 ” 的 所 有 选项 都 处 于 ON 状态 ， 
其 他 保持 默认 配置 。 

(26) 单 击 “ 确 定 ” 按 钮 ,保存 配置 。 单 击 “ 全 局 配置 "上 方 导航 栏 中 的 “全 局 开关 ”按钮 。 

(27) 在 “全 局 开关 ”界面 中 , 单 击 保证 “流量 统计 ”“ 上 默认 包 策 略 ”“ 日 志 至 合 功 能 ”的 所 
有 选项 都 处 于 ON 状态 ,其 他 保持 默认 配置 。 

(28) 单 击 “确定 ”按钮 ,保存 配置 ,配置 完毕 。 


【实验 预期 
PC 可 正常 访问 的 Web 服务 器 。 
【实验 结果 】 


d) 登录 实验 平台 对 应 实验 拓扑 左 侧 的 WXPSP3 虚拟 机 ,进入 PC, 如 图 1-59 所 示 。 
(2) 在 WXPSP3 虚拟 机 中 ,双击 困 面 上 的 Mozilla Firefox,; 打 开火 狐 浏 览 如 ,如 图 1-60 
所 示 。 
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WXPSP3 . 172.16.1.100/24 
ri 110.10.1.100/24 


管理 机 10.0.0.22 
图 1-59 登录 左 侧 的 WXPSP3 虚拟 机 


图 1-60 ”打开 火狐 浏览 器 


(3) 在 火狐 浏览 器 的 地 址 栏 中 输入 110.10.1.100 ,访问 Web 网 站 ,如 图 1-61 FFIR. 


€ [wil : c ||Q m 
图 1-61 访问 Web 网 站 


(4) 成 功 访 问 到 Web 网 站 ,符合 预期 ,如 图 1-62 所 示 。 


招聘 信息 RER REME — mIABN MDA 。 会员 中 心 WARE 


ARCE: MHEN 
搜索 职位 PUSA 0 AATA 0 4$ 0 eARSM D G 发 布 招聘 DP 填写 简历 


Bimbo xke ca —MWUIR ENAR 


xac: HEKS MSSD zi HALET HANI uniemXeuc MAEMRE 


最 新 下 载 简 历 &TKTRbRL'nrumeg 。。 本 周 热点 职位 gs | WICHGNREE 


1-62 成 功 访问 到 Web 网 站 
2/ 
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【实验 思考 】 
在 本 实验 中 ,车 在 外 网 中 增 减 服务 器 设备 ,应 该 怎么 配置 网 络 接口 ? 


14 ”入 侵 防 御 系 统 配 置 文 件 实 验 


【实验 目的 】 

在 人 侵 防 御 系 统 配 置 出 问题 时 恢复 系统 的 配置 信息 。 

【知识 点 了 

系统 设置 配置 文件 管理 。 

[5 z 18 15] 

A 公司 的 安全 运 维 工程 师 小 王 配置 好 和 人 侵 防 御 系 统 后 ,为 确保 人 侵 防 御 系 统 以 后 在 
出 现 因 配置 调整 出 现 问题 无 法 排查 的 情况 下 ,可 以 回 退 至 当前 配置 好 的 状态 ,需要 使 用 人 
侵 防 御 系 统 的 配置 文件 管理 功能 ,以 保存 和 恢复 系统 的 配置 信息 ,方便 调试 新 配置 。 请 思 
考 应 如 何 管理 人 侵 防 御 系 统 的 配置 文件 。 

【实验 原理 】 


在 入侵 防御 系统 可 以 正常 工作 时 保存 导出 配置 信息 ,可 以 在 需要 时 导入 配置 文件 让 
和信 侵 防 御 系 统 恢复 到 当初 导出 配置 文件 时 的 状态 。 


【实验 设备 】 
安全 设备 : SecIPS 3600 入 侵 防 御 系 统 设 备 1 台 。 


网 络 设备 : AA 1 台 , 交 换 机 lf. 
EHL yg. Windows 2003 SP2 主机 2 台 ,Windows XP SP3 主机 2 台 ,Windows 7 € 
机 1 全。 


【实验 拓扑】 
入 侵 防御 系统 配置 文件 实验 拓扑 图 如 图 1-63 Bron. 


(1) 配置 桥接 口 。 
(2) 创建 地 址 对 象 。 
(3) 创建 网 址 过 滤 黑 日 名 单 , 配 置 对 应 的 策略 。 
(4) 创建 新 的 URL 分 类 ,配置 对 应 的 策略 。 
(5) 保存 当前 策略 ,并 导出 配置 文件 。 
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管理 机 : 10.0.0.22/24 
图 1-63 ”入 侵 防御 系统 配置 文件 实验 拓扑 图 


(6) 删除 配 好 的 策略 ,并 删除 一 些 重要 对 象 ,让 入 侵 防御 系统 不 能 起 到 相关 作用 。 
(7) 使 用 配置 文件 还 原 删除 前 的 策略 。 


[ 3:3 27 3] 


d) 在 管理 机 中 打开 浏览 器, 在 地 址 栏 中 输入 入 侵 防 御 系 统 产 品 的 IP 地 址 https:// 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ) ,进入 人 侵 防 御 系 统 的 登录 界面 。 输 入 管理 员 用 户 名 
admin AI ZZ fid admin 登录 人 侵 防 御 系 统 。 

(2) 在 弹出 的 提示 修改 密码 界面 中 单 击 “取消 ?按钮 。 

(3) 登录 入 侵 防 御 系 统 设 备 后 ,会 显示 人 侵 防 御 系 统 的 面板 界面 。 

(4) 选择 面板 上 方 导航 栏 中 的 “网 络 ”>“ 网 络 接口 ”菜单 命令 。 

(5) 在 “网 络 接口 ?界面 中 找到 “逻辑 桥接 口 ? 部 分 , 单 击 “十 ?按钮 创建 新 的 逻辑 桥 。 

(6) 在 “十 ”界面 ,输入 “桥接 口 ID? 为 10 ,选中 “局 用 桥接 口 ?，”“ 绑 定 接口 ?选择 “Ge0/ 
0/2,Ge0/0/3", 

(7) 选择 面板 上 方 导航 栏 中 的 “资源 >“ 资源 对 象 ” 采 单 命令 。 

(8) 在 “资源 对 象 * 界 面 , 单 击 “ 地 址 资源 ”的 “十 ”按钮 ,增加 地 址 对 象 。 

(9) 在 “十 ”界面 ,输入 “名 称 ” 为 any, 选 中 “网 段 ”", “地址 框 ” 输 入 0.0.0.0,“ 子 网 掩 码 ” 
选择 0.0.0.0, 

(10) 选择 面板 上 方 导 航 栏 中 的 “资源 ”策略 对 象 ” 荣 单 命 令 。 

(11) 在 “策略 对 象 ? 界 面 , 单 击 “ 网 址 过 滤 ” 的 “十 ”按钮 ,创建 黑白 名 单 。 

(12) 在 “十 ”界面 ,“URL 过 滤 名 称 ” 输 入 noshop,“ 黑 名 单 过 滤 方 式 ” 选 择 “ 关 键 字 ”， 
"URL 黑 名 单 ” 输 入 110.16.2.100 确认 无 误 后 单 击 “ 添 加 ”按钮 ,“ 白 名 单 过 滤 方 式 ” 选 择 
“关键 字 ”, "URL HA” HA 110.16.1.100 确认 无 误 后 单 击 “添加 ”按钮 ,最 后 单 击 “ 确 
定 ” 按 钮 。 
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(13) 在 “ 寅 略 对 象 ”* 界 面 ,选择 “URL 2$", 

(14) 在 “URL 类 ”界面 中 找到 “URL 上 自 定 义 类 ”部 分 , 单 击 “十 ”按钮 新 建 URL 类 。 

(15) 在 “十 ”界面 ,“ 组 名 称 ” 输 入 nothing. "URL 地 址 ” 填 110.16.1.100, 单 击 “ 添 
加 ”, 如 图 1-64 所 示 。 


m 


URLARE 


图 1-64 新建 URL 类 


(16) 在 “十 ?界面 “URL 地 址 ?输入 110.16.2.100 , 单 击 “添加 ”按钮 ,确认 信息 无 误 后 
单 击 “ 确 定 ” 按 钮 。 

(17) 在 “URL 类 ”界面 选择 “URL 类 ”部 分 , 单 击 “ 十 ”按钮 创建 新 的 URL 分 类 。 

(18) 在 “十 ”界面 ,“ 分 类 名 称 ” 输 入 noshop, 在 “URL 分 类 列表 ”中 找到 新 建 的 分 类 
nothing , 单 击 “之 二 ”按钮 ,最 后 单 击 “ 确 定 即 可 ”按钮 。 

(19) 选择 面板 上 方 导航 栏 中 的 “策略 ”>“ 安 全 策略 ”菜单 命令 ,在 “安全 策略 ”界面 单 
击 “ 十 ”按钮 添加 新 的 安全 策略 ,如 图 1-65 所 示 。 


NGIPS 
ARMAAN 


5 : A AAP 
iB. miiia. 用户/ 


| o» uml | oll 1 9 
图 1-65 ”安全 策略 界面 


(20) 在 “编辑 策略 ”界面 “策略 名 称 ? 输 入 noshop ,选择 “ 源 ”,“ 源 IP 对 象 ? 选 择 any。 
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(21) 在 “编辑 策略 ”界面 选择 “目的 ”, “目的 IP 对 和 象 ” 选 择 any, 

(22) 在 “编辑 策略 ”界面 选择 “URL 分 类 ”,“URL 分 类 ”选择 noshop。 

(23) 在 “编辑 策略 ”界面 选择 “安全 业务 ”,“URL 过 滤 ? 选 择 noshop ,其 他 保持 默认 
设置 。 

(24) 在 "编辑 策略 ?界面 选择 "动作 ”操作 ?选择 "接受 ”, 确 认 无 误 后 单 击 “确定 ” 
按钮 
AC [EU RAMA. 


(25) 选择 面板 上 方 导航 栏 中 的 “省 理 ”>“ 配 置 
(26) 配置 文件 界面 。 
(27) 在 “配置 文件 ”界面 , 单 击 “ 保 存 当前 配置 ”按钮 。 
(28) 保存 当前 配置 ,“ 当 前 配置 文件 名 ”输入 “config.cfg”, 单 击 “ 确 定 ” 按 钮 。 
(29) 在 “配置 文件 ”界面 可 以 看 到 “系统 保存 的 配置 文件 ”是 “cfi: /configl.cfg”, 这 就 
是 我 们 已 经 配置 好 的 入 侵 防 御 系 统 的 配置 文件 。 

(30) 在 “配置 文件 ”界面 , 单 击 “ 导 出 当前 配置 ”按钮 。 

(31) 在 浏览 副 弹 出 的 保存 窗口 单 击 “ 确 定 ” 按 钮 ,导出 的 配置 文件 将 被 保存 在 默认 的 
下 载 文 件 夹 ,本 次 实验 选择 保存 的 路 径 是 桌面 (以 实际 情况 为 准 )。 
(32) 保存 配置 文件 。 


【实验 预期 
导入 配置 文件 后 人 侵 防 御 系 统 重新 正常 工作 ， 
【实验 结果 】 


D 登录 实验 平台 对 应 实验 拓扑 左 侧 的 WXPSP3 虚拟 机 或 PC 虚拟 机 (代表 公司 的 
不 同 部 门 ), 如 图 1-66 所 示 。 


110.16.1.1/24 


WXPSP3. 172. 16.1.100/16 s - ”74CMS 服 务 器 : 
f 38 N l G GE3 (x) | 110.16.1.100/24 
iliis SA. VC 172.16.1.1/16 CO 


Ci 
tr 和 
- | = 
= 110.16.2.1/24 
— 一 z E 
PC. 172.162.100/16 = Eshop 服 务 器 . 
D 110.16.2.100/24 


管理 机 : 10.0.0.22/24 
图 1-66 ”登录 左 侧 的 WXPSP3 虚拟 机 或 PC 虚拟 机 
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(2) 双击 虚拟 机 昌 面 上 的 火狐 训 览 种 。 
(3) 在 火狐 浏览 器 地 址 框 输入 http://110.16.1.100( 在 URL 过 滤 白 名 单 中 ) ,确认 无 
误 后 按 Enter 键 成 功 转 到 相应 网 站 ,符合 预期 ,如 图 1-67 所 示 。 


GEIE 招聘 信息 KEBE FPFE 亚 工 具 箱 ”新闻 资讯 F j 心 进入 


Spa: 网 站 首页 


搜索 职位 PAA: 0 AAD: 0 ”有效 简历 : 0 会 


RERA Rk 写字 楼 # 


AXES: HSE 销 此 经理 mi 销售 工程 师 销售 助理 道路 搜索 职位 EFE 
110. 16. 1. 100/uxer/login. php Ml m€— —— » 
1 LS ) 骑士 Pi 高端 人 才 = x 


图 1-67 转 到 相应 网 站 


(4) 在 火狐 浏览 器 地 址 栏 输入 http://110.16.2.100( 不 在 URL 过 滤 白 名 单 中 ) ,确认 
无 误 后 按 Enter 键 ,发 现 不 能 转 到 相应 网 站 ,URL 管控 成 功 符合 预期 ,如 图 1-68 所 示 。 


14 15x IE BE 
VETE MORE 
载 信 页面 时 与 服务 器 的 连接 被 重 置 。 


。 此 站 点 暂时 不 可 用 或 者 太 忙 。 请 稍 后 再 试 。 | 

e AGE EBEN. iftius x, | 

. 如 果 您 的 计算 机 或 网 络 受到 防火 培 或 者 代理 服务 器 的 保护 请 确认 Firefox 已 被 授权 访 
[nj P a 


图 1-68 连接 失败 


(5) 在 管理 机 中 打开 浏览 器, 在 地 址 栏 中 输入 入 侵 防 御 系 统 产 品 的 IP 地 址 https:// 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ), 进 入 入 侵 防御 系统 的 登录 界面 。 输 入 管理 员 用 户 名 
admin 和 密码 admin 登录 入 侵 防 御 系 统 ,如 图 1-69 所 示 。 

(6) 选择 面板 上 方 导航 栏 中 的 “策略 ”>“ 安 全 策略 ”菜单 命令 ,如 图 1-70 所 示 。 

(7) 选择 已 经 配置 好 的 琐 上 略 , 单 击 “ 删 除 ? 按 钮 ,如 图 1-71 所 示 。 

(8) 登录 实验 平台 对 应 实验 拓扑 左 侧 的 WXPSP3 虚拟 机 或 PC 虚拟 机 (代表 公司 的 
不 同 部 门 ), 如 图 1-72 所 示 。 

(9) 双击 虚拟 机 桌面 上 的 火狐 浏览 右 。 

(10) 在 火狐 浏览 器 地 址 框 输入 http://110.16.1.100( 在 URL 过 滤 白 名 单 中 ) ,确认 
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SeclPS 3600 人 食 防 御 系 统 


UsB 身 份 识别 


图 1-69 和 信 侵 防御 系统 登录 界面 


NGIPS 
| ARMAR 


OUTEOUN Ditz 


208.91 Kbps 


Actis BÉ TOPs 
Drm 


[Em] ps] Ds] fj 


10 |m e 
图 1-71 单 击 "删除 ?按钮 


无 误 后 按 Enter 键 成 功 转 到 相应 网 站 ,符合 预期 ,如 图 1-73 所 示 。 
(11) 在 火狐 浏览 器 地 址 栏 输入 http://110.16.2.100( 不 在 URL 过 滤 白 名 单 中 ) , 确 
认 无 误 后 按 Enter 键 ,同样 转 到 相应 网 站 ,URL 管控 成 功 策略 失效 ,如 图 1-74 PTR. 
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110.16.1.1/24 


WXPSP3. 172.16.1.100/16 一 74CMSRBR $5 85 : 
f & N GE2 C] GE3 ES - 110.16.1.100/24 


C) 
tr —Ü 
c 110.16.2.1/24. LL. 
二 | 
= 
PC: 172.16.2.100/16 — Eshophk $5 fi : 
i 110.16.2.100/24 


管理 机 : 10.0.0.22/24 
图 1-72 ”登录 左 侧 的 WXPSP3 虚拟 机 或 PC 虚拟 机 


招聘 信息 AER ”求职 信息 。 开工 具 箱 HDW k d 心 HA 


当前 位 置 : 网 站 首页 


íp4y M. 0 有效 职位 : 0 有效 简历 : 0 会 . 


鼠 近 更 新 妥 位 tH 


E HSE 会计 销 此 工程 师 销售 助理 着 路 搜索 上 职位。 mix 
| 110. 16. 1, 100/uzer/login.php I | 


.| & dex m —3—— | 
, ELT zm HE paje, AA b.a 


TIE  DINMEC 


> o luit, BELLI 


RESESHOPESIBRQEAIR T 


www.wqeshop.com 
| TL | [To LESE T... 打折 商品 ZEE k R Grp: 
ARAH | PAZE | HASA | PAHE | PALA | NAHE | SEFA | ARAR | ERARA | 


EXTTTM 


+ PeisEshop 5.5 IB ib HF 

+ FituEshop 5.5] BB i H £n 

+ [pdsEshon 5.518 i IH EF 
4 加 下 ES$hoo 5 5g i dH E 


i gd: 


LE 


FERIA atar diee 了 。 是 于 要 许 理 一 下 本 于 文件 以 获 但 近 于 全 新 的 


1-74 连接 成 功 
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(12) 在 管理 机 中 打开 浏览 上 费 , 在 地 址 栏 中 输入 入 侵 防 御 系 统 产 品 的 IP 地 址 
https://10.0.0.1 (以 实际 设备 IP 地 址 为 准 ), 进 入 入 侵 防 御 系 统 的 登录 界面 。 输入 管理 
员 的 用 户 名 admin 和 密码 admin 登录 入 侵 防 御 系 统 , 如 图 1-75 所 示 。 


SeclPS 3600 入 盆 防 御 系 统 


_ |] USB 身 份 识别 


图 1-75 登录 和 人 侵 防御 系统 
(13) 选择 面板 上 方 导 航 栏 中 的 "管理 ”一 “配置 文件 ? 沫 单 命令 ,如 图 1-76 所 示 。 


| NGIPS 
BUT. 


EE. MES 
EHAS, 


mWmGrmEEP |eiiconng-eT 


t aE Er ne eontra] |201 84/47 11:04:21 | 


图 1-76 “配置 文件 ”界面 


(14) 选择 需要 导入 的 配置 文件 ,如 图 1-77 所 示 。 


20184117 16:55:30 


图 1-77 导入 配置 文件 
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(15) 选择 桌面 上 的 配置 文件 ExportConf.cfg, 如 图 1-78 所 示 。 


ga 
2018011514051 
&bmp 


VE 


utorrent,axe MIEIO.EXE 


7 


an 


rR MEHAR 2019/0147 15:56:30 


图 1-78 选择 配置 文件 


(160 选择 正确 的 配置 文件 后 , 单 击 “导入 ”按钮 ,如 图 1-79 所 示 。 


AEN 
| | 用 于 配置 文件 的 导入 .导出 
ee 存 等 功能 , BERSANTAN 
AHATE, HEEE 
ToxmBEEExA | configcig 设置 
BZES + | ExportContcfg -| | 


————— 


AXES SISSE BEES |circontig.crg | 
EX TCU IUS uaria |circonfig1.ctg | 


EEEE TRENE [201801717 16:56:30 | 


图 1-79 ”再 次 导 人 配置 文件 


(17)“ 下 次 启动 的 配置 文件 ”选择 ExportConf. cfg. “选择 加 载 配置 文件 ?选择 Ex- 
portConf.cfg, 单 击 “ 设 置 ” 按 钮 和 加载” 按钮 ,如 图 1-80 所 示 。 


Wgwiem SASA 


"FARE | ExportContcdg | | BA 


rasaae 
smectic = 


本 次 启动 人 用 的 配置 训 性 。 | cfi/config cfg | 
系统 保存 的 配置 交 件 — cfp/configt.cfg | 
ARNEE — 2018/01717 16:56:30 | 


1-80 ”加载 配置 文件 
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(18) 单 击 “加 载 ” 按 钮 后 出 现 加 载 成 功 提示 界面 , 单 击 “确定 ”按钮 ,如 图 1-81 所 示 。 


Loading configuration file named cfiz/ExportConf.cfg. 


图 1-81 确定 界面 


(19) 选择 面板 上 方 导航 栏 中 的 “ 荣 略 ”>“ 安 全 策略 ” 亲 单 从 令 , 如 图 1-82 Bron. 


NGIPS 
N UR S 


[Ea] [d [dw [di] 


图 1-82 ”安全 策略 


(20) 发 现 删 除 的 苹 略 重新 出 现 , 和 从 合 预 期 ,如 图 1-83 所 示 。 


FIER 
gi m t x htt 


图 1-83 删除 的 策略 重新 出 现 


(21) 综 上 所 述 , 通 过 配置 文件 成 功 恢复 了 入 侵 防 御 系 统 的 配置 信息 ,符合 预期 。 


3/ 
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【实验 思考 】 
如 果 在 加 载 配置 文件 时 出 现 了 错误 ,系统 会 处 于 什么 状态 ? 


1.5 IDS & IPS 的 功能 和 部 署 


人 人 侵 检测 系统 专业 上 讲 就 是 依照 一 定 的 安全 策略 ,对 网 络 、 系 统 的 运行 状况 进行 监 
视 , 尽 可 能 发 现 各 种 攻击 企图 攻击 行为 或 者 攻击 结果 ,以 保证 网 络 系统 资源 的 机 密 性 、 完 
整 性 和 可 用 性 。 

入侵 检测 系统 以 笼 路 的 方式 在 系统 中 部 署 ,是 一 个 劳 路 监听 设备 ,不 需要 器 接 在 任何 
链 路 上 ,无 须 网 络 流量 流 经 它 便 可 以 工作 。 因 此 ,对 IDS 的 部 署 的 唯一 要 求 是 ; IDS 应 当 
挂 接 在 所 有 所 关注 流量 都 必须 流 经 的 链 路 上 。 这 里 ,“ 所 关注 流量 ” 指 的 是 来 自 高 危 网 络 
区 域 的 访问 流量 和 需要 进行 统计 、 监 视 的 网 络 报 文 。 

入 侵 防 御 系 统 属于 网 络 交 换 机 的 一 个 子 项 目 , 即 有 过 滤 攻 击 功能 的 特种 交换 机 。 人 和 
侵 防 御 系 统 用 于 深度 感 徊 并 检测 流 经 的 数据 流量 ,对 了 恶意 报 文 进行 丢弃 以 阻 断 攻 击 ,对 小 
用 报 文 进 行 限 流 以 保护 网 络 带宽 资源 。 

入 侵 防 御 系 统一 般 部 署 在 防火 场 和 外 来 网 络 的 设备 之 间 , 依 徘 对 数据 包 的 检测 进行 
防御 (包括 检查 人 网 的 数据 包 ,确定 数据 包 的 真正 用 途 , 然 后 决定 是 否 人 允许 其 进入 内 网 )。 
对 于 部 署 在 数据 转发 路 径 上 的 IPS, 可 以 根据 预先 设 定 的 安全 策略 ,对 流 经 的 每 个 报 文 进 
行 深 度 检测 (包括 协议 分 析 跟 踪 、 特 征 匹 配 流量 统计 分 析 . 事 件 关 联 分 析 等 ) ,一 旦 发 现 隐 
藏 于 其 中 的 网 络 攻击 ,可 以 根据 该 攻击 的 威胁 级 别 立 即 采 取 抵 御 措 施 ,如 辐 管理 中 心 告 
警 ; 丢 茎 该 报 文 ; 切 断 此 次 应 用 会 话 ;: 切 断 此 次 TCP 连接 等 。 
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入 侵 检 测 系 统 能 够 实时 发 现 网 络 攻击 企图 .攻击 行为 等 。 通 过 网 络 数据 监听 及 多 样 
的 告警 机 制 带 助 用 户 及 时 发 现 安全 威胁 事件 的 发 生 并 采取 相应 措施 。 可 对 和 凋 见 的 交口 扫 
描 攻 击 、 木马 后 门 、. 晴 虫 . 拒 绝 服务 攻击 、 组 冲 光 出 攻击 .邮件 服务 带 攻 击 、SQL 注入 攻击 、 
CGI 访问 攻击 JIS 服务 硕 攻 击 、P2P、IM、 网 络 游戏 以 及 其 他 违规 行为 进行 实时 检测 千 
警 。 人 入侵 检测 系统 还 提供 详尽 全 面 的 目 定 义 检 测 功能 ,可 以 通过 参数 的 灵活 设 定 ,把 关注 
的 特殊 事件 作为 目 定 义 蛇 略 下 发 给 引 敬 进行 检测 。 针 对 检测 结 末 ,采用 了 先进 的 续 构 设 
计 , 支 持 图 形 化 的 风险 评 信 、 事 件 显示 、 网 络 流量 监控 ,给 用 户 提 供 直 晤 的 图 形 报表 。 本 章 
实验 主要 对 入侵 检测 系统 进行 基本 的 功能 配置 。 
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【实验 目的 】 


实现 IDS 的 劳 路 部 署 ,将 IDS 部 署 在 信息 系统 的 关键 节点 。 
【知识 点 】 
旁 路 ,接口 。 


[5 $835) 
A 公司 采购 了 一 台 入 侵 检 测 系统 ,小 王 为 设备 的 管理 员 ,领导 要 求 小 王将 该 设备 部 
署 在 公司 的 关键 业务 节点 中 ,请 思考 应 如 何 部 署 该 设备 。 


【实验 原理 】 


IDS 的 全 称 为 人 侵 检 测 系 统 , 能 够 对 用 户 网 络 数据 进行 实时 分 析 , 具 体 来 说 ,可 以 对 
网 络 IP 数据 包 进 行 协议 解析 内 容 匹 配 ,通过 一 定 的 规则 特征 找 出 其 中 恶意 特征 的 数据 
包 , 从 而 检测 出 不 同 的 攻击 行为 ,如 缓冲 区 溢出 、 端 口 扫描 、DDOS 攻击 等 ,并 提供 给 用 户 
直观 的 网 络 人 侵 情 况 图 表 统 计 , 同 时 采取 一 定 的 管理 措施 ,如 丢弃 、 告警 等 ,从 而 保护 用 户 
网 络 的 安全 。 

管理 员 可 通过 配置 接口 IP 地 址 管理 设备 ,配置 完成 用 户 通过 https 方式 访问 设备 的 
管理 地 址 ,在 Web 页 面 中 管理 IDS 设备 。 
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【实验 设备 】 

安全 设备 : SecIDS 3600 入 侵 检测 系统 设备 1 台 。 
网 络 设 备 : 交换 机 1 R. 

EHL xg. Windows 7 主机 3 8. 

【实验 拓扑 】 

人 侵 检 测 系 统 劳 路 部 署 实 验 拓 扑 图 如 图 2-1 所 示 。 


Windows 7-1 
192.168.1.21/24 


Windows 7-2 Windows 7-3 
110.10.1.12/24 110.10.1.100/24 


图 2-1 Af E UN 2 EO P np SC s dh d S 


(OD 产品 升级 。 
(2) 部 署 IDS 网 络 。 
(3) 配置 安全 策略 。 


(1) 在 Windows 7-1 Blas EFTA 33] Và, a8 TE HU HET "P dj A SecIDS 3600 Web 登录 界 
面 地 址 https://192.168.1.70( 以 实际 设备 IP 地 址 为 准 ) ,进入 SecIDS 3600 的 登录 界面 ， 
首次 进入 IDS Web 界面 需要 在 浏览 冀 中 单 击 “高 级 ”按钮 。 单 击 后 下 拉 浏 览 右 右 侧 深 动 
条 , 单 击 “ 继 续 前 往 192.168.1.70” 按 钮 。 

(2) 确认 安全 例外 后 进入 IDS Web 登录 界面 ,登录 的 用 户 名 为 admin, 密 码 为 
admin ,确认 输入 无 误 后 单 击 “登录 ”按钮 。 

(3) 进入 Web 界面 后 将 鼠标 放 到 “管理 ”上 ,在 显示 的 子 菜 单 上 单 
进入 维护 升级 界面 。 

(4) Hi "Product 升级 ”按钮 。 

(5)“ 导 入 IDS” 选 择 文件 IDS. D525.pd.enc. ^4 iE "JU 5j D525_pd, 单 击 “ 确 定 ” 按 钮 。 

(6) HAE" BE" TEL, 

(7) 等 候 几 分 钟 后 ,会 有 弹 窗 提示 更 新 成 功 , 单 击 “ 确 定 ? 按 钮 。 


“维护 升级 ”按钮 
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(8) 在 升级 历史 记录 中 ,可 以 查看 Product 的 升级 时 间 、 升 级 方式 、 升 级 用 户 、 升 级 结 
条 和 更 新 描述 等 信息 。 

(9) Product 升级 成 功 后 需要 单 击 界面 左下 角 的 " 重 局 系统 ”按钮 。 

(10) 在 弹出 的 重 局 提示 界面 中 单 击 “ 确 定 ” 按 钮 。 

(OD 设备 重启 完成 后 ,刷新 页 面 ,重新 登录 SecIDS 3600, 单 击 “ 高 级 ”按钮 。 

(12) 单 击 后 下 拉 浏 览 絮 右 侧 深 动 条 , 单 击 “ 继 续 前 往 192.168.1.70” 按 钮 。 

(13) 确认 安全 例外 后 进入 IDS Web 登录 界面 ,登录 的 用 户 名 为 admin, 密码 为 
admin, 确 认输 入 无 误 后 单 击 “ 登 录 ” 按 钮 。 

(14) 进入 Web 界面 后 将 鼠标 放 到 “管理 ”上 ,在 显示 的 子 菜 单 上 单 击 “维护 升级 ” 按 
钮 进入 维护 升级 界面 。 

(15) 单 击 “License 升级 ”按钮 ,如 图 2-2 所 示 。 


图 2-2 IEA License 升级 


(16) *5 A license 文件 ”选择 文件 IDS D525.LIC.lic. ^£ iE" 3E 59 ^D525. LIC" , % ih 
“确定 ”按钮 ,如 图 2-3 Bro. 


5u54T5S8FB57145 7 DEDGBBADF 9432BDe25 


& ”查看 licemse 信 息 


| WERA rl censes tt 


图 2-3 License 升级 
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(17) 在 弹出 的 提示 窗口 中 单 击 “确定 ”按钮 。 
(18) 升级 完成 后 会 显示 新 的 License 信息 和 旧 的 License 信息 , 单 击 “确定 ?按钮 ,如 
图 2-4 所 示 。 


图 2-4 License 升级 成 功 后 的 提示 


(19) 导入 License 文件 后 需要 单 击 界面 右上 和 角 的 “保存 配置 ”按钮 。 

(20) 在 弹出 的 “保存 配置 成 功 ” 界 面 中 单 击 “ 确 定 ” 按 钮 。 

(21) 保存 配置 成 功 后 将 鼠标 放 到 "网络 ”上 ,在 显示 的 子 菜单 上 单 击 “网 络 接口 ?按钮 。 

(22) Iih žm O 44 FR" Ge0/0/2", 

(23) 选中 “IDS 模式 启用 ”, 单 击 “ 确 定 ” 按 钮 。 

(24) 将 鼠标 放 到 “资源 ”上 ,在 显示 的 子 菜单 上 单 击 “策略 对 象 ” 按 钮 。 

(25) 单 击 “入 侵 特 征 对 象 ” 按 钮 。 

(26) 单 击 “添加 ?按钮 。 

(27)“ 入 侵 检测 特征 策略 名 称 ” 填 入 ids2 光 请 选择 入侵 检测 模板 ?选择 ids ,其 他 保持 
默认 值 , 单 击 “ 确 定 ” 按 钮 。 

(28) 将 鼠标 放 到 “资源 ”上 ,在 显示 的 子 菜 单 上 单 击 “资源 对 象 ” 按 钮 。 

(29) 单 击 “添加 ?按钮 。 

(30) "A FK HEUS test, “地址 ”选择 “网 段 ”, 填 写 110.10.1.0,“ 掩 码 ” 选 择 255.255.255.0, 
其 他 配置 保持 不 变 , 单 击 “ 确 定 ” 按 钮 。 

(31) 单 击 “ 应 用 组 对 象 ” 按 钮 。 

(32) 单 击 “添加 ”按钮 。 

(33)“ 应 用 对 象 名 称 ” 填 写 为 app,“ 过 滤 条 件 ” 选 择 “ 或 ”, 其 他 配置 保持 不 变 , 单 击 “ 确 
(34) 将 鼠标 放 到 “策略 ”上 ,在 显示 的 子 菜 单 上 单 击 “ 安 全 策略 ”按钮 。 
(35) 单 击 “ 添 加 ”按钮 。 
(36)“ 策 略 名 称 ” 填 写 为 test,“ 源 IP HR AF test, 单 击 “ 应 用 ”按钮 。 
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(37)“ 应 用 对 象 ” 选 择 app, 单 击 “ 安 全 业务 "按钮 。 

(38)“ 和 人 和信 侵 检 测 ? 选 择 ids2 , 单 击 “确定 按钮。 

(39) 将 鼠标 放 到 “管理 ”上 ,在 显示 的 子 菜单 上 单 击 “ 全 局 配置 ?按钮 。 
(40) 将 “日 志 记 录 ” 全 部 打开 , 单 击 “确定 ”按钮 ,如 图 2-5 所 示 。 


图 2-5 打开 日 志 记 录 


(41) 单 击 “ 全 局 开关 ”按钮 。 
(42) 将 “流量 统计 ”全 部 打开 , 单 击 “ 确 定 ” 按 钮 。 


【实验 预期 】 

IDS 中 接口 可 见 PC 访问 的 流量 。 

【实验 结果 了 

(1) 登录 实验 平台 右 下 方 的 Windows 7-3 实验 机 ,如 图 2-6 所 示 。 


Windows 7-1 
192.168.1.21/24 


Windows 7-2 Windows 7-3 
110.10.1.12/24 110.10.1.100/24 
图 2-6 登录 右 下 方 的 Windows 7-3 实验 机 


(2) 单 击 “开始 ?按钮 ,搜索 cmd, 打 开 “cmd.exe”, 如 图 2-7 所 示 。 


(3) 在 “命令 提示 符 ” 界 面 中 ,输入 命令 “Ping 110.10.1.12” 后 按 Enter 键 ,成功 向 服务 
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"Xs ICMP 数据 包 , 如 图 2-8 Bron, 


S 关闭 休眠 .cmd 

开启 TabletPC.cmd 

开启 休眠 .cmd 

设置 开机 荣 单 等 待 时 间 为 3 秒 .cmd 
填写 Ip 为 192.168.0.118.cmd 
填写 IP 为 192,168.1.118.cmd 
停 用 TabletPC.cmd 


文件 (2) 
E threadDump-20170410-095230.txt 
司 packages.xml 


Pa METE qoe 
版 权 所 有 《cy 2009 Microsoft Corporation, EAN o 


正在 Ping 118.18.1.12 具有 32 3 字 节 的 数据 : 

+ 110.108.1.1; DAE: 时 | 四 =tms TTL-64 
ZA 118.18.1. T T: 字 节 j Hil<ims TTL=64 
GE B 118.18.1.12 的 回复 : 宇 节 =32 有 | 上 <ims TTL-64 
3X B i118.18.1.12 的 回复 : 字 节 =32 时 | 日 ctms TTL-64 


118.18.1.12 日] Ping 统计 E k ; 
FHRA: n EE - xU = 4, E -0 W: 一 失 )， 


往返 : 的 估计 时 间 《 以 | 


To dms , HE 局 | Hms 


C:‘WUsers Administrator .PC-201703181045 > 


图 2-8 发送 ICMP 数据 包 


(4) 在 实验 机 Windows 7-1 FA DUI V, zi » TE JUL HET HP i A A ST 48] 3 67^ im HJ. IP 
地 址 https://192.168.1.70( 以 实际 设备 IP 地 址 为 准 ), 登 录 的 用 户 名 为 admin. 密码 为 
admin, 进 入 人 和 人 侵 防御 系统 的 登录 界面 。 选 择 面 板 上 方 导 航 栏 中 的 “可 视 ” 一 ”流量 监控 ” 
菜单 命令 ,如 图 2-9 所 示 。 

(5) 单 击 “接口 统计 ”按钮 ,如 图 2-10 所 示 。 

(6) 可 见 接 口 “Ge0/0/2” 中 有 流量 显示 ,如 图 2-11 所 示 。 
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图 2-11 流量 显示 
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【实验 思考 】 
在 接口 配置 中 ,如 果 不 用 ids 模式 ,还 能 正常 检测 到 结果 吗 ? 
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【实验 目的 】 


管理 员 通 过 对 入 侵 检 测 系 统 的 安全 融 略 等 进行 配置 ,能 够 监控 通过 入 侵 检 测 系 统 的 
流量 信息 。 


【知识 点 】 

安全 采 略 流量 监控 ,全 局 控制 。 

【场景 描述 】 

A 公司 的 安全 运 维 工程 师 小 王 接 到 其 他 部 门 的 有 反馈, 最近 上 网 速度 比较 慢 , 小 王 想 
通过 入 侵 检测 系统 进行 流量 监控 和 分 析 , 请 思考 应 如 何 分 析 入 侵 防 系统 的 流量 监控 数据 ，。 

【实验 原理 】 

IDS 的 流量 可 视 化 模块 将 组 织 网 络 使 用 情况 以 可 视 化 形式 带 助 管理 员 了 解 当 前 网 络 
的 运行 情况 ,管理 员 可 以 直接 碍 看 接口 流量 统计 图 .当前 应 用 流量 TOP10 等 信息 。 这 些 


功能 可 带 助 网 络 管理 员 透 视 整个 组 织 网 络 应 用 现状 ,及 时 发 现 当 前 网 络 中 过 度 占 用 市 多 
的 应 用 ,合理 调整 市 宽 绾 理 芝 上 略 , 保 证 重要 应 用 业务 审 宽 的 优先 级 。 


【实验 设备 】 
安全 设备 : SecIDS 3600 人 侵 检 测 系统 设备 1t. 


网 络 设 备 : 交换 机 1 R. 
主机 终端 : Windows 7 主机 3 台 。 


【实验 拓扑 】 
入侵 检测 系统 流量 监控 实验 拓扑 图 如 图 2-12 所 示 。 


CD 部 署 IDS 网 络 。 
(2) 配置 安全 策略 。 
(3) 查看 流量 使 用 情况 。 
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Windows 7-1 
192.168.1.21/24 


Windows 7-2 Windows 7-3 
110.10.1.12/24 110.10.1.100/24 
图 2-12 入侵 检测 系统 流量 监控 实验 拓扑 图 


[3:36:53 


(1) Æ Windows 7-1 fLz& EFI F 3X] Và, d . TE JU di RES P 48 A SecIDS 3600 Web 登录 界 
面 地 址 https://192.168.1.70( 以 实际 设备 IP 地 址 为 准 ), 进 入 SecIDS 3600 的 登录 界面 。 
首次 进入 IDS Web 界面 需要 在 浏览 带 中 单 击 “ 高 级 ”按钮 。 

(2) filie P rU Va, sida DU TR ZR , 单 击 " 继 组 前 往 192.168.1.70” 按 钮 。 

(3) 确认 安全 例外 后 进入 IDS Web 登录 界面 ,登录 的 用 户 名 为 admin, 密码 为 
admin ,确认 输入 无 误 后 单 击 “ 登 录 ?” 按 钮 。 

CA) 将 鼠标 放 到 “网 络 ” 上 ,在 显示 的 子 菜 单 上 单 击 “网 络 接口 ”按钮 。 

(5) 双击 端口 名 称 “Ge0/0/2”。 

(6) 选中 “IDS 模式 局 用 ”, 单 击 “ 确 定 ” 按 钮 。 

(7) 将 鼠标 放 到 “资源 ”上 ,在 显示 的 子 菜单 上 单 击 “策略 对 象 ” 按 钮 。 

(8) 单 击 “* 入 侵 特 征 对 象 ” 按 钮 。 

(9) 单 击 “添加 ”按钮 。 

(10)“ 入 侵 检 测 特征 策略 名 称 ” 填 入 ids2,“ 请 选择 人 侵 检 测 模 板 ” 选 择 ids ,其 他 保持 
默认 值 , 单 击 “ 确 定 ” 按 钮 。 

(11) 将 鼠标 放 到 “资源 ”上 ,在 显示 的 子 荣 单 上 单 击 “ 资 源 对 象 ” 按 钮 ,如 图 2-13 所 示 。 

(12) 单 击 “添加 ?按钮 。 

(13)“ 名 称 ” 填 写 test, "Hb "e PE" II EZ" 3855 110.10.1.0, " fit R5" E 255.255.255.0, 
其 他 配置 保持 不 变 , 单 击 “ 确 定 ” 按 钮 。 

(14) 单 击 “应 用 组 对 象 ” 按 钮 。 

(150. 单 击 “添加 ”按钮 。 

(16)“ 应 用 对 象 名 称 ” 填 写 为 app,“ 过 滤 条 件 ” 选 择 “ 或 ”, 其 他 配置 保持 不 受 , 单 击 “ 确 
定 ” 按 钮 。 

(17) 将 鼠标 放 到 “策略 ”上 ,在 显示 的 子 菜 单 上 单 击 “ 安 全 策略 ”按钮 。 

(18) 单 击 “添加 ”按钮 。 
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x Cu | dh TRE | ugej/152.158.1. 70/ dex htnl 


MGIDS 
CLIE 


TERN 
ATER A 
EER RA R 
TETE -iedtnicr EN A mea. 
DER , HARES i ipl 


RURĘ Ë 


图 2-13 ”添加 资源 对 象 


(19)“ 策 略 名 称 ” 填 写 为 test,“ 源 IP 对 象 ? 选 择 test, 单 击 “ 应 用 ”按钮 。 
(20)“ 应 用 对 象 ?选择 app, 单 击 “ 安 全 业务 ”按钮 。 

(21)“ 入 侵 检 测 ” 选 择 ids2, 单 击 “ 确 定 ” 按 钮 。 

(22) 将 鼠标 放 到 “管理 ”上 ,在 显示 的 子 菜单 上 单 击 “全 局 配置 ”按钮 。 
(23) 将 “日 志 记 录 ” 全 部 打开 , 单 击 “ 确 定 ” 按 钮 。 

(24) 单 击 “ 全 局 开关 ”按钮 。 

(25) 将 “流量 统计 ”全 部 打开 , 单 击 “确定 ”按钮 。 


【实验 预期 】 

IDS 中 可 见 PC 访问 的 流量 访问 情况 。 

【实验 结果 】 

(1) 登录 实验 平台 右 下 方 的 Windows 7-3 实验 机 ,如 图 2-14 PFR. 


Windows 7-1 
192.168.1.21/24 


Windows 7-2 
110.10,1.12/24 
图 2-14. 登录 实验 平台 右 下 方 的 Windows 7-3 实验 机 
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(2) 单 击 “开始 ?按钮 ,搜索 cmd, 打 开 cmd.exe, 

(3) 在 “命令 提示 符 ” 界 面 中 ,输入 命令 Ping 110.10.1.12 后 按 Enter 键 , 成 功 回 服务 
端 发 送 ICMP 数据 包 。 

(A). 打开 火狐 浏览 器 ,在 地 址 栏 中 输入 110.10.1.12/phpinfo.php, 如 图 2-15 所 示 。 


sB -aas |  nenosj|= 


G 最 常 访问 (E AWE $r BYRBT :首页 - Powe. «e 由 信访 坛 - 北 邦人 的 ..。 db BUPT Mail System (8 RAE S ceci BE 北京 邮电 大 学 打 施 于.， 图 iE- aR.. » DüsuBs 


图 2-15 访问 Web 网 页 


(5) 关闭 火狐 浏览 着 。 单 击 “ 开 始 ? 按 钮 ,搜索 mstsc, 打开 mstsc.exe, 如 图 2-16 
所 示 。 


图 2-16 搜索 mstsc 


(6) 计算 机 名 称 填 写 为 110.10.1.12, 单 击 “ 连 接 ” 按 钮 ,如 图 2-17 所 示 。 
(7) 选择 Guest 账户 ,密码 填写 123456 , 单 击 “确定 ?按钮 ,如 图 2-18 所 示 。 
(8) 单 击 “是 (Y)” 按 钮 ,如 图 2-19 所 示 。 


mum  ASBUEGQDÓAARIDEPXITISOO E 


RAE RAAEN o 


HO: [iooi O 0 0 0 — 0 v 
Rh | | 


ifm emerit a TR o 


EVERETETE REIR R) 


-连接 设置 
k 摘 当 前 连接 设 轩 保存 到 RD 文件 或 打开 一 个 已 保存 的 连 
y Bio 


图 2-17 ”远程 连接 计算 机 


输入 您 的 凭据 
这 些 凭 据 椅 用 于 连接 110.10.1.12, 


| 使 用 其 他 账户 


利于 家 全 证 所 存在 问题 因此 远程 计算 机 无 法 通过 身份 验证 。 继 续 操 
作 襄 能 不 安全 。 


名 称 不 匹 本 

w 请 求 的 远程 计算 机 : 
110. 10. 1. 12 

Eg] 来 自 远程 计算 机 的 证 书 中 的 名 称 : 
hud-PC 


证 书 错误 
验证 远程 计算 机 8i 正 书 8 寺 是 到 下 列 错误 : 


A 证 书 上 的 服务 器 名 错误 。 

A 证 书 来 自 下 信任 的 证 书 验 证 机 构 。 
您 想 连 接 到 元 程 桌面 而 进 略 这 蔚 证 书 错 性 吧 ? 
不 再 稠 问 我 是 百 和 连接 到 此 计算 机 0) 


图 2-19 Huh" C" Hifl 
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(9) 远程 果 面 连接 计算 机 成 功 , 如 图 2-20 所 示 。 


图 2-20 ”远程 介面 连接 计算 机 成 功 


(10) 在 实验 机 Windows 7-1 中 打开 训 览 着, 在 地 址 栏 中 输入 入 侵 防 御 系 统 产 品 的 IP 
地 址 https://192.168.1.70( 以 实际 设备 IP 地 址 为 准 ), 登 录 的 用 户 名 为 admin, 密 但 为 
admin, 进 入 人 侵 防御 系统 的 登录 界面 。 选 择 面板 上 方 导 航 栏 中 的 “可 视 *->* 流 量 监控 ” 
菜单 命令 ,如 图 2-21 所 示 。 
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图 2-21 打开 流量 监控 


(11) 单 击 “应 用 统计 ”按钮 ,如 图 2-22 所 示 。 
(12) 在 流量 监控 面板 中 可 以 从 应 用 名 称 、 流 量 统 计 : 


年 方面 看 出 流量 统计 的 情况 ,如 
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2-22 单 击 "应 用 统计 ”按钮 


2-23 所 示 , 


151 Khps 
24.35 bya 
2M bpe 
u 
LGT bpe 
(188 hps 


图 2-23 流量 监控 


(13)“ 时 间 ” 选 择 “ 最 近 一 天 ”, 可 以 查看 一 天 内 的 流量 统计 情况 ,如 图 2-24 所 示 。 


3e Eum 


图 2-24 流量 显示 
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Qd pps: 
Qu pps 
LO pps 
Di ppa 
Dü ppa 
QÜ pps. 


mawe ae 


图 2-25 查询 流量 统计 


(150 选中 “应 用 名 ”为 RDP ,双击 RDP, 单 击 “ 查 询 ” 按 钮 ,如 图 2-26 所 示 。 


图 2-26 选择 RDP 


(160 查看 RDP 流量 的 统计 结果 ,如 图 2-27 所 示 。 

(17) 下 拉 浏 览 器 右 侧 滚动 条 ,可 见 流量 分 布 图 ,以 及 各 种 应 用 流量 之 间 的 比例 。 在 
应 用 流量 图 中 可 见 使 用 流量 最 多 的 5 种 应 用 和 其 上 行 流 量 和 下 行 流 量 的 对 比 ,如 图 2-28 
所 示 。 

【实验 思考 】 


查看 使 用 流量 最 多 的 10 个 应 用 。 


o3 
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图 2-28 结果 对 比 


”入侵 检测 系统 SQL 注入 攻击 检测 实验 


【实验 目的 】 
管理 员 通 过 对 入 侵 检 测 系 统 的 安全 策略 等 进行 配置 ,能 够 检测 出 通过 入 侵 检 测 系 统 
的 SQL 注入 攻击 。 


o4 
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【知识 点 】 
安全 策略 、 入 侵 检 测 ,全 局 控制 。 
[52:18 3^ ] 


A x E] B SK £e PRGBI EC A AER] Y E BLAST i3 o SQL 注 人 攻击 ,对 公司 服务 大 中 的 
数据 安全 将 产生 严重 的 威胁 ,为 了 维护 公司 安全 和 利益 , 张 经 理 要 求 安 全 运 维 工程 师 小 王 开 
局 SQL 注入 攻击 检测 功能 。 请 思考 应 如 何 配 置 入 侵 检 测 系 统 的 SQL 注入 检测 功能 。 


【实验 原理 】 

Bri SQL 注入 ,就 是 通过 把 SQL 命令 插入 Web 表单 提交 或 输入 域名 或 页 面 请 求 的 
查询 字符 串 ,最 终 : 达到 苏 骗 服务 器 执行 恶意 的 SQL 命令 。 

IDS 的 人 侵 检 测 模 块 可 以 及 时 发 现 并 记录 当前 网 络 中 的 人 侵 行 为 。 管 理 员 可 以 通过 
可 视 化 管理 模块 查看 当前 系统 所 有 人 侵 事 件 的 类 型 .攻击 来 源 、. 事件 使 用 的 协议 等 信息 ， 
为 用 户 提 供 当 前 网 络 入 侵 事 件 的 详细 信息 ,帮助 管理 员 直 观 地 了 解 最 新 安全 状况 。 

【实验 设备 】 

安全 设备 : SecIDS 3600 人 人 侵 检 测 系 统 设备 1 台 。 

网 络 设 备 : 交换 机 1 台 。 

主机 终端 Windows 7 主机 3 & 


【实验 拓扑 】 
和 人 入侵 检测 系统 SQL 注入 攻击 检测 实验 拓扑 图 如 图 2-29 Brom. 


Windows 7-1 
192.168.1.21/24 


Windows 7-2 Windows 7-3 
110.10.1.12/24 110.10.1.100/24 
图 2-29 人 侵 检 测 系 统 SQL 注入 攻击 检测 实验 拓扑 图 


【实验 思路 】 


(1) 部 署 IDS 网 络 。 
(2) 配置 安全 策略 。 
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(3) 查看 IDS 事件 监控 。 
【实验 步骤 了】 


(D) 在 Windows 7-1 机 需 上 打开 浏览 硕 , 在 地 址 栏 中 输入 SecIDS 3600 Web 登录 界 
面 地 址 https://192.168.1.70( 以 实际 设备 IP 地 址 为 准 ) ,进入 SecIDS 3600 的 登录 界面 。 
首次 进入 IDS Web 界面 需要 在 浏览 硕 中 单 击 “高 级 ”按钮 。 

(2) 单 击 后 下 拉 浏 览 硕 右 侧 滚动 条 ,再 单 击 “ 继 续 前 往 192.168.1.70” 按 钮 。 

(3) 确认 安全 例外 后 进入 IDS Web 登录 界面 ,登录 的 用 户 名 为 admin, 密 码 为 
admin ,确认 输入 无 误 后 单 击 “登录 ”按钮 。 

CA) 将 鼠标 放 到 “网 络 ” 上 ,在 显示 的 子 菜 单 上 单 击 “网 络 接口 ”按钮 。 

(5) 双击 端口 名 称 “Ge0/0/2”。 

(6) 选中 “IDS 模式 局 用 ”, 单 击 “ 确 定 ” 按 钮 ,如 图 2-30 所 示 。 


图 2-30 JH HH IDS 模式 


CL) 将 鼠标 放 到 “资源 ”上 ,在 显示 的 子 菜 单 上 单 击 “策略 对 象 ” 按 钮 。 

(8) 单 击 “* 和 人 侵 特征 对 象 ” 按 钮 。 

(9) HEU SL TH. 

(10)“ 和 人 和信 侵 检 测 特 征 策 略 名 称 ? 填 人 ids2,“ 请 选择 入 侵 检 测 模 板 ” 选 择 ids, 其 他 保持 
SA IB. , 单 击 “ 确 定 ” 按 钮 。 

(OD 将 鼠标 放 到 “资源 ”上 ,在 显示 的 子 菜 单 上 单 击 “ 资 源 对 象 ” 按 钮 。 

(12) 单 击 "添加 ?按钮 。 

(13)“ 和 名称? 填写 test, “地址 ”选择 “网 段 ”, 填 写 110.10.1.0,“ 掩 人 码 ” 选 择 255.255.255.0, 
其 他 配置 保持 不 变 , 单 击 “ 确 定 ” 按 钮 。 

(14) 单 击 “应 用 组 对 象 ” 按 钮 。 

(150. 单 击 “ 添 加 ”按钮 。 

(16)“ 应 用 对 和 象 名 称 ” 填 写 为 app,“ 过 小 条 件 ” 选 择 “ 或 ”, 其 他 配置 保持 不 变 , 单 击 “ 确 
定 ” 按 钮 。 

(17) 将 鼠标 放 到 “策略 ”上 ,在 显示 的 子 菜 单 上 单 击 “ 安 全 策略 ”按钮 。 

(18) 单 击 “添加 ”按钮 。 

(19)“ 策 略 名 称 ” 填 写 为 test,“ 源 IP 对 象 ? 选 择 test, 单 击 “ 应 用 ”按钮 。 
56 


E 第 2 章 入 侵 检测 系统 功能 配置 mm 


(20)“ 应 用 对 象 ”选择 app , 单 击 “ 安 全 业务 ?按钮 。 

(21)“ 和 人 和信 侵 检测 ”选择 ids2, 单 击 “ 确 定 ” 按 钮 。 

(22) 将 鼠标 放 到 “管理 ”上 ,在 显示 的 子 菜 单 上 单 击 “全 局 配置 ”按钮 。 
(23) 将 “日 志 记 录 ” 全 部 打开 , 单 击 “确定 ”按钮 。 

(24) 单 击 “ 全 局 开关 ”按钮 。 

(25) 将 “流量 统计 ”全 部 打开 , 单 击 “ 确 定 ” 按 钮 。 

【实验 预期 


IDS 日志 中 可 见 SQL 注入 攻击 。 


【实验 结果 】 
CD 登录 实验 平台 右 下 方 的 Windows 7-3 实验 机 ,如 图 2-31 所 示 。 


Windows 7-1 
192.168.1.21/24 


Windows 7-2 Windows 7-3 
110.10.1.12/24 110.10.1.100/24 


图 2-31 登录 实验 平台 右 下 方 的 Windows 7-3 实验 机 


(2) 进入 目录 C:\Python27\sqlmap, 打 开 可 执行 文件 cmd.exe. W KI 2-32 所 示 。 


I » immo» AEC + Pyhon27 » sqimap » 


收 改 日 期 


2018/2/27 11:03 

2018/5/27 11:03 

2018/53/27 11:03 

2018/53/27 11:03 

2018/35/27 11:03 

2018/5/27 11:03 

2018/5/27 11:03 

2018/5/27 11:03 

2018/5/27 11:03 

2018/5/27 11:03 

2018/5/27 11:03 

2018/5/27 11:03 

2018/5/27 11003 Hj 

2018/5/24 1:41 GITATTRIBUTES ... 

2018/5/24 1:41 GITIGNORE 文件 

2018/5/24 1:41 YML EA 

2018/5/28 9:06 快捷 方式 

2018/5724 1:41 

2018/5/27 11:15 

2018/5/24 1:41 MD 文件 

2018/5/24 1:41 CONF 3ret 

2018/5/24 1:41 Python File 
[F sqlmapapi.py 2018/5/24 1:41 Python File 


图 2-32 打开 命令 提示 符 
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(3) 在 
m tk Enter 


“A AN 


命令 提示 和 从 ”界面 中 输入 命令 sqlmap.py -r "payload.txt" -p password -dbs 


& ,如 图 2-33 所 示 。 


C: “Python2?7“\soqlmap*sgqlnap.py -r “payload.txt" -p password --dbs 


图 2-33 输入 命令 


ti1.2.5 .18#deu» 


http:A/sqlnap.org 


[*] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual 
consent is illegal. It is the end user's responsibility to obey all applicable 
local. state and federal laws. Developers assume no liability and are not respon 

sible for any misuse or damage caused by this program 


[¥] starting at 19:21:45 


B2; HP 
C ht be 


491 [INFO] heuristic Chasicy test shows that POST parameter "password’ 


injectable (possible DBMS: 'MySQL') 


it looks like the back-end DBMS is ‘MySQL. Do you want to skip test payloads sp 
cific for other DBMSes?| [9n] y | 


图 2-34 输入 


(5) 再 输入 y, 按 Enter 键 ,如 图 2-35 所 示 。 

(6) 输入 n, 按 Enter 键 ,如 图 2-36 所 示 。 

(7) 再 输入 n, 按 Enter 键 ,如 图 2-37 Bros , 

(8) 继续 输入 n, 按 Enter 键 ,如 图 2-38 所 示 。 

(9) SQL 注入 成 功 ,如 图 2-39 所 示 。 

(10) 在 实验 机 Windows 7-1 中 打开 浏览 颖 ,在 地 址 栏 中 输入 入 侵 防 御 系 统 产 品 的 IP 


DO 
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http://sqlnap.org 


[*] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual 
consent is illegal. It is the end user's responsibility to obey all applicable 
local, state and federal laws. Developers assume no liability and are not respon 

sible for any misuse or damage caused by this program 


Læ] starting at 10:21:45 


L1H :21:451 LINFO]I parsing HIIP request trom  payload.txt 

BI; HEKAMEE TT [INFO] testing connection to the target URL 

[1ġ:21i:491 [INFOJ heuristics detected web page charset *GB2312' 

[itiz 21:45 [INFO] checking if the target E protected by some kind of VWVAFZIPSZID 


[1 :21:49 LINFO] testing aif the target URL content 1is stable 

[10:72 I INFÜTI target URL content 1s stable 

[10:21:49] [INFO] heuristic <Cbasic? test shows that POSI parameter password’ mi 
ght be injectable possible DBMS: MystQL’ » 

[10:21:49 1 LINFOJ testing for SQL ingJection on POSI parameter ' password’ 

it looks like the back-end DBMS is “MuseL” 。 Do you want to skip test payloads €p 
ecific for other DBMSes? [Yn] y 

for the remaining tests. do you want to include all tests for “MuSsGL” extending 

provided level <1) and risk <1) values? [[Y/nl y 


图 2-35 再 输入 yy 


| Bi 


Z3 管理 员 : cmd.exe 


[10:21:56] [INFO] testin g “MungL >= 5.1 error-based Parameter replace <EATRÀACTI ES 
MATER 

i118:21-:561] LINFO] testing 'MyuSQL inline queries" 

L121:56] LINFO] testing MySQL > 5.8.11 stacked queries comment)” 

Li1Ĥ:21:561 人 NE 已 testing “MySQL > 5.0.11 stacked queries’ 

10:21:56] [INFO] testing ‘MySQL > 5.0.11 stacked queries query SLEEP comment 
|? 

IL10:21:561 LINFO] testing MySQL > 5.68.11 stacked queries query SLEEP)” 
IBIDEM LINMFO] testing 'MySQL & 5.89.12 stacked queries heavy query comment 
y? 

ILiH:z21:561 LINFÜI testing MuosGL < 5-8-12 stacked gueries 4heauy guery)” 
i[1H8:21:561] LINFOI testing 'MuS5QL = 5.8.12 AND time-based blind’ 

[18:21:56] LINFO] testing MySQL >= 5.6.12 OR time-based blind’ 

[10:22:06 1 LINFOI FOSTI parameter *password’ appears to be “MySQL >= 5.60.12 OR ti 
me-based blind’ injectable 

[10:22:06 1 EINFO] testing ” Generic UNION ruervu <NULL> 1 to A200 columns’ 
i1H8:22:H5 1 LINFO!I testing '"MuS5uL UNION query &NULL» 1 to ZH columna’ J 
[10:22:06 1 [INFO] automatically extending ranges for UNION query injection B = 


igue tests as there is at least one other potentialy technique found 
[10:22:06 1 LINFO] ORDER BY’ technique appears to be usable. This should reduce 
the time needed to find the right number of query columns. Automatically extendi 


q the range For current UNION query injection technique test 

[i122 LINFOI target URL appears to have 3 columns in query 
injection not exploitable with NULL values. Do you want to try with a random int 
eger value for option ’——union—char’? 


KI 2-36 输入 n 
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[INFO] testing *My59QL > 5.0. stacked queries query SLEEP)’ 
[INFO] testing ‘MySQL < 5.6.12 stacked gueries heavuy query comment 


LINFOI testing “MySQL < 5.68.12 stacked queries <heavy query») ” 
10:21:56] [INFO] testing ‘MySQL >= 5.6.12 AND time-based blind’ 
[L190:21:56] [INFO] testing MySQL >= 5.6.12 OR time-based blind’ 

[INFO] POST parameter ’ password’ appears to be *My5S9L >= 5.60.12 OR ti 
me-based blind’ injectable 
BI PITT LINFÖ]I testing *Generic UNION query <NULL> — i to 20 columns’ 
[SU TPPEI ] [INFO] testing 'MuSQL UNION query “NULL — 1 to 28 columns’ 
L[10:22:0961 LINF0] automatically extending ranges for UNION query injection techn 
ique tests as there is at least one other potential» technique found 
T [INF0] "ORDER BY” technique appears to be usable. Ihis should reduce 

time needed to find the right number of query columns. futomatically extendi 

| the range for current UNION query injection technique test 
LiH: z2:001 LINFOI target URL appears to have 3 columnes In query 
injection not exploitable with NULL values. Do you want to try with a random int 
eger value for option '--union-char'? [Y/n] n 
[1B:22:08] [WARNING] if UNION based SQL injection is not detected, please consid 


er usage of option '--union-char' ‘e.g. '--union-char-1'» and/or try to force th 
back-end DEMS <e.g. '——dbms-2nvusql'?» 

18:22:88] LINFO target URL appears to be UNION injectable with 3 columns 

injection not exploitable with NULL values. Do you want to try with a random int 

eger value for option ’——union—char’? 


图 2-37 ĦA n 


BIA VISUM LINFOJ target URL appears to be UNION injectable with 3 columns - 
injection not exploitable with NULL values. Do you want to try with a random int 
eger value for option '--union-char'? [Yn] n 

[10:22:10] [INFO] testing MySQL UNION query random number? — i to 20 columns’ 
[1ġH:22:111 LWARNING] if UNION based SQL injection is not detected, please consid 
er and/or try to Force the back-end DBMS €£e.«. '-—-dbms-musql'?» 

[10:22:11 1 [INFO] testing MySQL UNION query (NULL) 一 21 to 48 columns’ 

[148:22:111 LINFOI testing MySQL UNION query &random number» 21 to 4M columns’ 
[i1022:11] [INFO] testing MySQL UNION query <NULL>? 一 4i to éA columns” 

[19:22:12 1 LINFÖI testing "MysGL UNION query random number’? 一 4i to 6H columns” 


[10:22:12 LINFO] testing 'My5QL UNION query <NULL>? 一 6i to 86 columns” 
[i100:22:12] CINF0] testing MySQL UNION query random number) 一 6i to 80 columns’ 


[i122:13] LINFOI testing “MysGL UNION query <NULL) B1 to 188 columns’ 

L1H:22:131 LINFOI testing "MySQL UNION query <crandom number? 一 81 to i100 columns 
L10:22:131 [WARNING] in ÖR boolean-based injection cases, please consider usage 
—-drop-set-cookie’ if you experience any problems during data retrieu 


P 


pf switch 
1 

[i122 :213] LINFO checking 21t the injection point on POSI parameter * password’ 1 

s a false positive 


POST parameter *password’ is vulnerable. Do you want to keep testing the others 


Cif any)? 


图 2-38 ”继续 输入 nm 


[INF0] retrieved: information_schema 
LINFO] retrieved: Uuwa 
LINFO] retrieved: limesurvey 
[INFO] retrieved: mysgl 
[TNFEU] retrieved: performance_sc hema 
[INFO] retrieved: phpems 
LINFO] retrieved: phpemsorigin 
[INFO] retrieved: test 

duwa 

information_schema 

limesurvey 

mysql 

performance. schema 

phpenms 

phpensorigin 

test 


22:281 [LINEU] fetched data logged to text files under 'C:Wsers`Administrato 


t. PC-201703181845 s. sql1mapNoutput N110.10.1.12' 


[ae] shutting down at 19:22:28 


: \Python27^sqlmap> 


图 2-39 SQL 注入 成 功 


地 址 https://192.168.1.70( 以 实际 设备 IP 地 址 为 准 ), 登 录 的 用 户 名 为 admin, 密 码 为 
admin, 进 入 人 侵 防 御 系 统 的 登录 界面 。 选 择 面板 上 方 导 航 芒 中 的 “可 视 ” 一 “事件 监控 ” 


菜单 命令 ,如 图 2-40 所 示 。 


badi 3500 4 Gr x 


Lil 


£ C d |A FEE | hips//192158.120/ndexhtm 


NGIDS 
NIIT 


TOAN A Sms E T5 


min ped Amr Br mt Mat 
2018/05/23 1011A ; 13390 ALI 110.00.L12 
2OIB/M2E 1c 1485 TEE 15438 1101311 110.10. L1 


Last GO minutes 
ü 


Raap 


WaS  PiGcdDi 350 2 8 f RR 
XepsM  S50610785 
ROAI VEODHOTCPOOIOOOODOT HE EErEE. TS WA tial? 
UD  A4DFOJCEEQIFBEAE * TORRES lë CE Ed a 
实生 在 妾 用 章 : i. caald. waad. Bob d — ——— € 


WDENSE  L035 S 
ERRAN AVAA ZR. iH i LDFégd o0 meds o0 
paN iita. 76 mdex htrel BRODRSBHE: ü.CAN — Laial: OE, AE 3 i: TIG B 


图 2-40 ”打开 事件 监控 


(11) 在 事件 监控 面板 中 可 以 看 到 检测 出 了 SQL 注入 攻击 ,如 图 2-41 所 示 。 


T A MW 


(12) Æ IDS 事件 列表 面板 中 可 以 看 到 IDS 事件 的 发 起 时 间 HFA ER FFR 
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Pr 102. 185.1 1me thin er a fd ns Moni bar html 


图 2-41 查看 统计 


地 址 和 目的 地 址 等 情况 ,如 图 2-42 Brzn - 


€ 地 G fr A TER Hbps//192:158.L index html tl : 
mea HERE TID TERES 
TUE. KNCEDE UTER HHEN 


L T ES 
Ahs A. HESCEDSPNDS He 


ee A A N, T a a 


BOL union selert - pomis sql injectias attempt - BET paramet l1101.109$ IIRL  üpdse au tp z nopi DHIMAGENCHI Suc reg] OHHBSET 
5QL1- L- posible sql injection atterept Hus 110101109 12016112 51400 —— 80 mp — 2 —— accept ÜQJEULLSTOUO — OACE012040JD | 


图 2-42 dr IDS 事件 列表 


【实验 思考 】 
尝试 使 用 入 侵 检测 系统 导出 IDS 事件 列表 。 
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入 侵 防 御 系 统 将 这 度 内 容 检测 .安全 防护 .应 用 识别 管理 等 技术 完 寺 地 结合 在 一 起 ， 

合 定 期 更 新 的 人 侵 攻 击 特征 库 , 可 检测 包括 探测 与 扫 摘 n dit i eh a DDoS 攻击 、SQL ic 
OE MA ME. 间 旋 软件 等 各 种 网 络 威胁 并 进行 细 粒 度 的 处 置 。 本 章 主 要 完成 
入 侵 防 御 系 统 的 功能 配置 ,包括 基于 时 间 管 理 的 应 用 组 管理 实验 .敏感 数据 管控 `.URL 管 
Te .安全 防御 管控 .邮件 管控 和 DDoS 防护 的 配置 等 。 完 成 这 些 配 置 项 以 后 ,入 侵 防 御 系 
统 就 能 发 挥 作用 。 


3.1 入 侵 防 御 系 统 配置 问 导 实验 


【实验 目的 】 

通过 入 侵 防 御 系 统 的 配置 器 导 , 实 现 基本 防护 功能 的 快速 系统 部 莹 。 
【知识 点 了 

DDoS $t [ROME ZR REGI AR , ER iE, 

[5 2 $8 3 


A 公 司 的 安全 运 维 工程 师 小 王 需要 配置 公司 分 部 新 购置 的 一 台 人 侵 防 御 系 统 议 备 ， 
小 王 计划 使 用 入 侵 防 御 设 备 中 的 配置 器 导 功 能 将 设备 配置 成 初步 可 以 使 用 的 设备 ,请 思 
考 应 如 何 议 置 人 侵 防 御 系 统 的 配置 问 导 功能 。 


通过 配置 回 导 , 可 以 使 得 用 户 通过 一 站 式 配 置 : 网 络 配置 .地 址 对 象 、 应 用 识别 ， 
DDoS 防护 ,“IDS/IPS”, 内 容 安 全 以 及 流量 可 视 等 功能 。 主 要 用 于 帮助 首次 接触 设备 的 
用 户 快 速配 置 IDS 和 IPS 功能 ,能 够 快速 将 设备 部 署 使 用 。 


【实验 设备 】 


安全 设备 : SecIPS 3600 和 人 侵 防 御 系 统 设 备 1 台 。 
EHL "w: Windows 2003 SP2 主机 1 台 ,Windows XP 主机 1 台 ,Windows 7 主机 1 S 


E 


入 侵 检 测 与 入 侵 防 得 实验 指 于 FE 


【实验 拓扑 】 
入 侵 防 御 系 统 功 能 配置 拓扑 图 如 图 3-1 所 示 。 


WXPSP3. 7A4CMS(WebHB 2$ 23) : 
110.69.70.100/24 : 172.16.8.100/24 


管理 机 : 10.0.0.22 
图 3-1 和 人 入侵 防御 系统 功能 配置 拓扑 图 


【实验 思路 】 


(1) 使 用 配置 向 导 完 成 基本 设置 。 
(2) 外 网 用 户 可 以 正常 访问 内 网 服务 占 网 页 。 


(1) 在 管理 机 中 打开 浏览 疾 , 在 地 址 栏 中 输入 入 侵 防 御 系 统 产 品 的 IP 地址 https:// 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ) ,进入 人 侵 防 御 系 统 的 登录 界面 。 输 入 管理 员 的 用 户 
名 admin MEH ! 1fw(22soc € 3vpn 登录 人 侵 防 御 系 统 。 

(2) 单 击 “登录 ”按钮 后 ,会 弹出 修改 出 厂 原始 密码 的 提示 框 , 单 击 “ 取 消 ” 按 钮 。 

(3) 登录 入 侵 防 御 系 统 设 备 后 ,会 显示 人 和 人 侵 防御 系统 的 面板 界面 。 

(4) 选择 面板 上 方 导航 栏 中 的 “策略 ”>“ 配 置 品 导 ” 亲 单 命令 。 

(5) 在 弹出 的 “IPS 配置 向 导 ” 界 面 , 左 侧 显示 配置 进度 条 , 右 侧 显示 配置 铝 导 的 相关 
描述 , 单 击 “下 一 步 ” 按 钮 。 

(6) 进入 “桥接 口 配 置 ”" 界 面 ,在 “策略 名 称 ” 中 输入 simple. TE" BO EriZ $8 B2 H1" — £5 
中 ,“ 绑 定 内 网 接口 ”选择 Ge0/0/3， 绑 定 外 网 接口 ?选择 Ge0/0/2, 其 他 参数 保持 默认 值 ， 
如 图 3-2 所 示 。 

(7) 确认 信息 无 误 后 , 单 击 "下 一 步 ? 按 钮 ,进入 “地址 区 域 流 ?配置 界面 ,使 用 配置 回 
导 是 为 初步 部 署 使 用 的 ,因此 先 配 置 一 个 全 网 段 的 地 址 ,之 后 依照 实际 安全 需求 再 进行 调 
整 。 在 “请 选择 源 / 目 的 IP” 一 栏 中 ,“ 源 IP”“ 目 的 IP? 均 填 和 人 0.0.0.0, 掩 码 均 选择 0.0.0.0, 
其 他 参数 保持 默认 值 。 

(8) 单 击 “ 下 一 步 ” 按 钮 ,进入 “应 用 识别 ”界面 ,选中 “HTTP 协议 “传统 协议 ”。 

(9) 单 击 “ 下 一 步 ” 按 钮 ,进入 IPS 界面 “请 选择 IPS 模板 ”选择 ips. BI fit HA f DJ; 48] 
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“化 定 内 网 接口 | Ge0/0/3 


| 


* 纤 定 外 网 接口 | Ge0/0/2 - 


配置 桥接 口 IP | IP 地 址 | 


| 255.255.255.255 Y | 
可 用 作 管理 
启用 trunk 封 装 。 国 


针对 vlan 标 签 的 应 用 场景 ， 需要 开启 此 选项 


图 3-2 桥接 口 配置 


系统 默认 的 IPS 模板 。 

(10) 单 击 “下 一 步 ” 按 钮 ,进入 “DDoS 配置 "界面 ,| 除 “ 挂 马 防护 ”外 ,选中 全 部 选项 ,其 
中 “防护 ARP 洪水 “防护 ICMP 洪水 ”后 的 阅 值 均 填写 10, 

(11) 单 击 “ 下 一 步 ” 按 钮 ,进入 “内 容 安 全 "界面,“ 关 键 字 过 滤 ”“URL 过 滤 ” 功 能 不 配 
置 内 容 。 

(12) 单 击 “ 下 一 步 ” 按 钮 ,进入 “可 视 ” 配 置 界面 ,保留 默认 的 全 部 统计 开关 开启 状态 。 

(13) 单 击 “ 下 一 步 ” 按 钮 ,进入 “概览 ”界面 , 可 浏览 之 前 步 又 中 配置 的 参数 。 

(14) 确认 信息 无 误 后 , 单 击 “确定 ”按钮 ,完成 配置 向 导 。 配 置 和 铝 导 在 人 侵 防 御 系 统 
中 将 各 步骤 中 配置 的 信息 进行 匹配 。 选 择 上 方 导航 栏 中 的 “网 络 ” 一 “网 络 接口 ”菜单 
全 令 。 

(15) 进入 “网络 接口 ?界面 中 ,双击 "以太 网 接口 ?中 的 Ge0/0/2 接口 。 

(16) 在 弹出 的 “编辑 以 太 网 接口 ?界面 中 ,显示 该 接口 的 相关 信息 ,可 见 GE2 接口 的 
“ 流 统 计 标 识 ” 已 设置 为 outside。 

(17) 单 击 “取消 ?按钮 返回 “网 络 接口 ?界面 ,双击 其 中 的 Geo/0/3 接口 。 

(18) 在 弹出 的 “编辑 以 太 网 接口 ?界面 中 ,显示 该 接口 的 相关 信息 ,可 见 GE3 接口 的 
“ 流 统 计 标 识 ” 已 设置 为 inside。 

(19) 单 击 “ 取 消 ” 按 钮 返回 “网 络 接口 ”界面 ,在 “人 逻辑 桥接 口 ” 界 面 中 ,可 见 由 配置 向 
导 配 置 的 逻辑 桥 信息 (配置 向 导 生 成 的 桥 ID 号 为 随机 生成 ,以 实际 生成 桥 ID 号 为 准 )。 

(20) 双击 该 逻辑 桥 , 在 弹出 的 “编辑 逻辑 桥接 口 ? 界 面 中 可 见 其 配置 信息 。 

(21) 单 击 “ 取 消 ” 按 钮 返回 “网 络 接口 ”界面 ,选择 上 方 导 航 柱 中 的 “资源 ”一 “资源 对 

65 


s 入侵 检 测 与 入 侵 防 御 实 验 指导 | 


R KREMS. 

(22) 在 “资源 对 象 * 界 面 中 的 “地 址 资源 ”标签 页 中 ,在 "地址 对 象 ” 一 栏 可 见 由 配置 问 
导 生 成 的 两 个 地 址 对 象 w_sou_simple、w_des_simple,; 分 别 表 示 源 IP. 地 址 和 日 的 IP 
地 址 。 

(23) 单 击 “ 资 源 对 象 * 界 面 中 的 “应 用 组 对 和 象 ” 标 签 页 ,可 见 配 置 向 导 生 成 的 w_app_ 
simple XZ. 

(24) 双击 w app simple 对 和 象 , 在 弹出 的 “应 用 协议 配置 "界面 中 的 “基于 协议 树 配 
置 ?标签 页 中 ,可 见 配 置 回 导 中 配置 的 ”HTTP 协议 ”和 “传统 协议 ”已 选中 ，。 

(25) 单 击 "取消 ?按钮 返回 "资源 对 象 " 界 面 ,选择 上 方 导 航 栏 中 的 “资源 ”一 ”策略 对 
R KEMT. 

(260 E RBS] R” P h ARRIER R RAS 9L. 

(27) 在 “特征 策略 ?界面 中 ,可 见 配置 回 导 生成 的 w_ips_simple 特征 策略 规则 ,其 采 
用 的 模板 类 型 是 系统 日 市 ips. 

(28) 双击 w_ips_simple 4 Wit. TE s iH ^ 48. IPS 策略 ”界面 中 可 见 该 策略 的 相关 
信息 。 

(29) 单 击 “取消 ”按钮 返回 “ 案 略 对 和 象 * 界 面 ,再 选择 上 方 导航 栏 中 的 “ 宁 上 略 ”>“ 安 全 
TREO KENS e 

(30) 在 “安全 策略 ?界面 中 ,可 见 配置 回 导 生成 的 w_pol_simple 策略 。 

(31) 双击 w_pol_simple 策略 对 象 , 在 弹出 的 “编辑 策略 ”界面 中 ,“ 源 ”标签 页 中 的 
“ 源 IP 对 象 ” 为 配置 品 导 创建 的 w_sou_simple。 

(32) 单 击 “目的 ”标签 页 ,可 见 “ 目 的 IP 对 象 ?为 配置 向 导 生 成 的 w_des_simple 
XI. 

(33) Hd" MA PRE ,可见 “应 用 对 象 ”? 为 配置 向 导 生 成 的 w_app_simple。 

(34) 单 击 “ 安 全 业务 ”标签 页, 可 见 “ 人 侵 防 护 ” 为 配置 器 导 生成 的 w ips simple. 

(35) 单 击 * 取 消 ?按钮 返回 "安全 有 策略 ?界面 ,选择 上 方 导 航 栏 中 的 “策略 >” 一“ DDoS Dj 
护 ” 菜 单 命令 ,如 图 3-3 所 示 。 


NGIPS 
ILLI 


E 2-1. 
- DB*xXünutizs* 
& 


图 3-3 进入 DDoS 防护 


(36) 在 “DDoS 防护 ”界面 中 ,可 见 配 置 回 导 将 “IP 和 网 络 层 防 护 ”IP ESHARURU" ARP 
防护 ”的 所 有 选项 已 选中 ,并 在 “防护 ICMP 洪水 > 和 ”防护 ARP 洪水 ?后 的 国 值 框 内 设置 
(37) 选择 上 方 导航 栏 中 的 “管理 ”>“ 全 局 配置 


"菜单 命令 。 
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(38) 在 “全 局 配置 ?界面 中 , 单 击 “全 局 开关 ”标签 页 。 
(39) 在 “全 局 开关 ”界面 的 “流量 统计 ”中 ,可 见 相 关 功 能 已 全 部 开启 。 
(40) 至 此 ,和 人 侵 防 御 系 统 由 配置 向 导 生 成 的 基本 设置 配置 完成 。 


【实验 预期 】 
外 网 用 户 可 正常 访问 内 网 服务 器 网 页 。 
【实验 结果 】 


CD 登录 实验 平台 对 应 实验 拓扑 左 侧 标 红 框 的 WXPSP3 虚拟 机 ,如 图 3-4 所 示 。 


74CMS(WebHE $5 28) : 
172.16.8.100/24 


WXPSP3. 
110.69.70.100/24 


rovor : I3 


管理 机 . 10.0.02 
图 3-4 登录 左 侧 的 WXPSP3 虚拟 机 


(2) 双击 虚拟 机 茧 面 中 的 火狐 浏览 希 快 捷 方 式 «35 £T 2€ 9 Dl] Và, 25 o 
(3) ÆN vs 2s AI HE Bb E F d A A PLC 45 88 HJ IP 地 址 172.16.8.100 ,可 正 篆 浏览 网 页 
信息 ,表明 服务 器 及 网 络 工作 正常 ,如 图 3-5 所 示 。 


HRT RGB 职场 资讯 


AREF 


请 输入 邮箱 /用 户 名 /手机 号 w 2 " d^ di 
T ice 1 j 


G Pu. 


图 3-5 访问 服务 器 网 页 


(4) 人 侵 防 御 系 统 通过 配置 四 导 实 现 对 和 人 侵 防御 设备 的 快速 配置 ,满足 基本 的 使 用 
要 求 ,达到 实验 预期 。 


【实验 思考 】 


使 用 配置 四 导 是 否 可 实现 人 侵 防 御 系 统 全 部 功能 的 配置 ? 
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3 ”入 侵 防御 系统 基于 时 间 管 理 的 应 用 组 管理 实验 


【实验 目的 】 

基于 不 同 地 址 资源 设 定 的 不 同 应 用 组 对 象 对 人 侵 防 御 系 统 配置 不 同 的 安全 策略 加 强 
HE AR BER MEE. 

【知识 点 了 

地 址 资源 .应 用 组 对 过 E ARR. 

[5 2 18 3^] 

A A RH] 2S IL ZH] frei E R DG Mai E «AES PS EBTT RJ E DE S cR er RP E HE OSEE 


Ho di Ex ot xe AS I8] B9 oz HIDE 2. FE RFE BESTE TR] Et P IS fo YEAR ABI) UI In] e P hz H E mus 
HE T FE IPD E a 8 Ae E A eT 480 2s Ds AS RE V UR. Iz HE ERT 28. . ELO BJ ZZ AREE 


【实验 原理 】 


地 址 资源 管理 将 IP 地 址 简化 为 地 址 对 和 象 和 地 址 组 对 象 , 将 IP 地 址 段 向 化 为 地 址 池 。 
DASE EEY O F E On] RD KI H E A JU H BOSE AR ,还 可 以 通过 类 别 、. 子 类 别 、 

风险 级 别 、 应 用 特性 、 应 用 技术 等 过 小 条 件 进行 组 合 , 对 于 部 分 应 用 ,还 可 以 配置 账号 。 基 
于 时 间 管理 的 应 用 组 管理 ,可 以 满足 信息 系统 内 不 同 的 需求 ， 


【实验 设备 】 

安全 设备 : SecIPS 3600 人 侵 防 御 系 统 设备 16 

网 络 设备 : 路 由 需 1 人 台 , 交 换 机 1 全 

主机 终端 Windows 2003 SP2 主机 1 台 ,Windows XP SP3 主机 2 台 ,Windows 7 X 
机 1 人 台 。 


【实验 拓扑 】 
和 信 侵 防御 系统 基于 时 间 管 理 的 应 用 组 管理 实验 拓扑 图 如 图 3-6 所 示 。 
【实验 思路 】 


d) 配置 桥接 口 。 

(2) 创建 地 址 对 象 。 

(3) 创建 时 间 对 象 。 

(4) &aem Haz. 

(50 创建 新 的 安全 策略 并 应 用 。 
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WXPSP3: 172.16.1.100/16 
GE2 


rms X = 
一 一 一 一 一 一 \ 
172.16.1.1/16 110.16.1.1/24 [= 


W3SP2(FTPBE SS 28) : 
110.16.1.100/24 


E 


WXPSP3: 172.16.2.100/16 


TI L0'0 0I * IHD €) 


S: | 10.0.0.22 
图 3-6 ”人 侵 防 御 系 统 基 于 时 间 管 理 的 应 用 组 管理 实验 拓扑 图 


(1) 在 管理 机 中 打开 训 览 硕 , 在 地 址 芒 中 输入 人 和信 侵 防御 系统 产品 的 IP 地 址 https:// 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ) ,进入 人 侵 防 御 系 统 的 登录 界面 。 输 入 管理 员 用 户 名 
admin 和 密码 admin 登录 人 侵 防 御 系 统 。 

(2) 在 弹出 的 提示 修改 密 公 界面 单 击 “ 取 消 ” 按 钮 。 

(3) 登录 入 侵 防 御 系 统 设备 后 ,会 显示 入 侵 防 御 系 统 的 面板 界面 。 

(4) 选择 面板 上 方 导航 栏 中 的 网络” 一 “网 络 接口 ”六 单 命令 。 

(5) 在 “网 络 接口 ?界面 中 找到 “逻辑 桥接 口 ?部 分 , 单 击 “十 ?按钮 创建 新 的 逻辑 桥 。 

(6) 在 “十 ”界面 ,输入 “桥接 口 ID? 为 10 , 勾 选 “启用 桥接 口 ?>“ 绑 定 接口 ?选择 “Ge0V/ 
0/2.Ge0/0/3", 

(7) TERR E77 SEBLUES B BJ" EUR 9 E URSI IR SEEDS. 

(8) 在 “资源 对 象 ”* 界 面 , 单 击 “ 地 址 资源 ”的 “十 ”按钮 ,增加 地 址 对 和 象 。 

(9) 在 “十 ?界面 ,输入 "名称 ?为 tech, 选 中 “网 段 ”, “地址 框 ” 中 输入 172.16.1.0,“ 子 网 
掩 码 ”选择 255.255.255.0, 

(10) 在 "十 界面, 输入" 名称? 为 mon, 选 中 "网 段 *> “地 址 框 ? 中 输入 172.16.2.0,“ 子 
网 掩 码 ?选择 255.255.255.0. 

(11) 在 "十 ”界面 ,输入 “名称 ?为 any, 选 中 “网 段 ”,“ 地 址 框 * 中 输入 0.0.0.0. “F Pe] d 
码 ” 选 择 0.0.0.0, 

(12) 在 “资源 对 象 * 界 面 ,选择 “应 用 组 对 象 ”, 单 击 “ 十 ”按钮 创建 新 的 应 用 组 对 象 。 

(13) 在 “十 ”界面 ,“ 应 用 对 象 名 称 ” 输 入 noftp, “过滤 条 件 ” 选 择 “ 或 ”, 选 中 “基于 协议 
树 配置 "下 的 “传统 协议 ”里 的 FTP. 

(14) 确认 信息 无 误 后 , 单 击 “确定 ”按钮 ,如 图 3-7 所 示 。 
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3-7 创建 应 用 组 对 象 


(15) 在 “资源 对 象 ”* 界 面 ,选择 "时间 对 象 ”, 单 击 “ 十 ”按钮 创建 新 的 时 间 对 和 象 。 

(160 Æ“ AH ." 4 FK iA nof, “调度 方 式 ” 选 择 一 次 性 调度 ”,“ 起 始 时 间 ” 选 择 
“2018/01/07 14: 51: 36”, “终止 时 间 ” 选 择 *2018/01/10 14: 51: 46”( 以 实际 情况 为 准 )。 

(17) 选择 面板 上 方 导 航 栏 中 的 "策略 "一 “安全 腰 略 "菜单 俞 令 ,如 图 3-8 Bran. 


NGIPS 
入 但 防御 系统 


TEAR 
zm mexiimtirt 


整 Eos, EISSIP 
JEW miS Ae 


W ae lva | lale 


图 3-8 ”打开 “安全 策略 ” 


(18) 在 “安全 策略 ”界面 , 单 击 “ 十 ”按钮 ,增加 安全 素 上 略 。 

(19) 在 “新建 策略 ”界面 ,输入 "策略 名 称 ” 为 noftp,“ 源 ”下 的 “ 源 IP HR” mon, 
(200 在 “新 建 策 略 " 界 面 , 单 击 “ 目 的 ”按钮 ,在 “目的 IP 对象" 下 选择 any. 

(21) 在 “新 建 策 略 ” 界 面 , 单 击 “时 间 对 象 *, “时 间 对 和 象 * 下 的 “时 间 对 象 ”* 选 择 nof, 
(22) 在 "新建 策 略 ” 界 面 , 单 击 " 应 用 ?按钮 ,选择 "应 用 对 象 ”为 noftp。 

(230 在 “新 建 策 略 ” 界 面 , 单 击 “ 动 作 ” 按 钮 ,选中 “操作 ”选项 的 丢弃”。 


【实验 预期 】 


配置 应 用 新 的 安全 上 荣 上 略 后 ,财务 部 (对 应 的 地 址 对 和 象 mon) 在 工作 时 间 内 不 可 使 用 
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m—— 第 3 章 入 侵 防 御 系 统 功 能 配置 。 mem 
FTP 相关 的 应 用 ,而 技术 部 (对 应 的 地 址 对 象 tech) 不 受 影响 ,可 以 使 用 FTP 相关 应 用 。 


【实验 结果 】 


CD 登录 实验 平台 对 应 实验 拓扑 左上 侧 的 WXPSP3 虚拟 机 (代表 技术 部 tech 的 虚拟 
机 网 段 为 “172.16.1.*”) ,如 图 3-9 所 示 。 
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WXPSP3 . 172.16.1.100/16 mm 
ED -一 CX) — 

| | -] 

| etf 172.16.1.1/16 ES — 110.161.124. 世 


W3SP2(FTP 服 务 器 ): 
110.16.1.100/24 


WXPSP3: 172.16.2.100/16 


管理 机 : 10.0.0.22 
图 3-9 登录 左上 侧 的 WXPSP3 虚拟 机 


(2) 双击 虚拟 机 时 面 上 的 “我 的 电脑 ”。 
(3) 在 地 址 栏 输 入 ftp: //110.16.1.100, 确 认 无 误 后 按 Enter 键 使 用 FTP 服务 ,如 
3-10 所 示 。 
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图 3-10 ”使 用 FTP 服务 
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(4) 可 以 使 用 FTP 服务,“ 用 户 名 ”ftpuser 和 “密码 ”123456 连接 FTP 服务 此 ,确认 
信息 无 误 后 单 击 “ 登 录 ” 按 钮 ,如 图 3-11 所 示 。 


ËJ ftp://110. 16. 1. 100/ 


登录 身份 


qo 服务 嗜 不 区 许 匿名 登录 ,或 者 不 接受 该 电子 邮件 地 址 。 
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图 3-11 连接 FTP 服务 器 


(5) 成 功 访问 FTP 服务 器 ,符合 预期 ,如 图 3-12 所 示 。 
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图 3-12 成 功 访 问 FTP 服务 项 


(6) 登录 实验 平台 对 应 实验 拓扑 左下 侧 的 WXPSP3 虚拟 机 (代表 财务 部 mon 的 虚拟 
机 网 段 为 "172.16.2.* ”) ,如 图 3-13 Bron, 

(7) 双击 虚拟 机 果 面 上 的 “我 的 电脑 ”。 

(8) 在 地 址 栏 输入 ftp: //110.16.1.100. 确认 无 误 后 按 Enter 键 使 用 FTP 服务 。 如 
图 3-14 所 示 。 

(9) 不 能 访问 FTP 服务 硕 , 竺 合 预期 ,如 图 3-15 所 示 。 
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3-13 登录 左下 侧 的 WXPSP3 虚拟 机 


我 的 电脑 
rq) RSO ZEO VQ) IAT 帮助 0M) 


Q=- 0- B Jmm rx E 


ftp: //110. 18. 1. 100 
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图 3-15 不 能 访问 FTP 服务 器 
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(10) 在 管理 机 中 打开 浏览 右 , 在 地 址 栏 中 输入 SecIPS 3600 Web 登录 界面 地 址 ht- 
tps://10.0.0.1( 以 实际 设备 IP 地 址 为 准 ) ,进入 SecIPS 3600 的 登录 界面 ,输入 管理 员 用 
户 名 admin 和 密 人 码 admin. H& it; Xe oe " $E EH. XE 5*& SecIPS 3600 Web 页 面 ,如 图 3-16 
所 示 。 


SeclPS 3600 人 侵 防御 系统 


_] USBS ie SI 


图 3-16 入 侵 防御 系统 登录 界面 


(11) 在 弹出 的 提示 修改 冤 但 界面 单 击 "取消 ?按钮 ,如 图 3-17 所 示 。 


波 当 前 客 柚 为 出 | 初始 密码 ， 为 了 例 蝇 系统 安全 ,建议 总 


惧 改 初始 密码 ， 请 确认 是 凋 惧 改 ! 


图 3-17 提示 修改 密码 


(12) 选择 面板 上 方 导航 栏 中 的 “策略 ”>“ 安 全 策略 ”菜单 命令 ,如 图 3-18 所 示 。 

(13) 双击 已 经 建立 的 策略 noftp ,如 图 3-19 所 示 。 

(14) 在 弹出 的 编辑 策略 界面 选择 时 间 对 象 部 分 ,将 时 间 对 象 设 定 为 无 , 单 击 “ 确 定 ” 
按钮 ,如 图 3-20 所 示 。 

(150 在 “动作 ”标签 页 的 “操作 ”中 ,选中 “接受 ”选项 , 单 击 “ 确 定 ” 按 钮 ,如 图 3-21 
所 示 。 

(16) 登录 实验 平台 对 应 实验 拓扑 左下 侧 的 WXPSP3 虚拟 机 (代表 财务 部 mon 的 虚 
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图 3-18 ”安全 策略 
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3-20 删除 时 间 对 旬 


拟 机 网 段 为 "172.16.2.* ”) ,如 图 3-22 所 示 。 

C17) 双击 虚拟 机 果 面 上 的 “我 的 电脑 ”。 

(18) 在 地 址 栏 输入 ftp: //110.16.1.100. 确认 无 误 后 按 Enter 键 使 用 FTP 服务 ,如 
图 3-23 所 示 。 
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图 3-21 调整 动作 策略 
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3-23 ”继续 使 用 FTP 服务 
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(19) 成 功 访问 FTP 服务 器 ,符合 预期 ,如 图 3-24 所 示 。 


3 Ftp://110. 16. 1. 1007 
登录 身份 


服务 器 不 允许 匿名 登录 ,或 者 不 接受 该 电子 邮件 地 址 。 


PTP 服务 器 ; 110. 16. 1, 100 
araw 
ERG. TURR MRSA RAE: » EL BEPEDSE Bl. 

A P TERE uique a 要 保护 密码 和 数 
Learn more about using Web Folders 
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图 3-24 ”成功 访问 FTP 服务 项 


(20) 成 功 访问 到 FTP 具体 内 容 , 如 图 3-25 所 示 。 
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用 户 : ftpuser W Internet 
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3-25 FTP 具体 内 容 


(21) 综 上 所 述 , 配 置 好 新 的 安全 荣 略 后 ,成 功 地 对 不 同 的 地 址 对 象 进行 了 官制 ,符合 


【实验 思考 】 
(1) 如 果 不 同 的 地 址 对 象 因为 特殊 情况 需要 使 用 被 禁止 的 服务 该 怎么 办 ? 
(2) 能 否 通过 使 用 时 长 对 地 址 对 象 进行 限制 


If 


入 侵 检测 与 入 侵 防御 实验 指导 
33 ”入侵 防御 系统 敏感 数据 绾 探 实验 


【实验 目的 】 


管理 员 通 过 对 入 侵 防 御 系 统 的 关键 字 对 和 象 .文件 控制 对 象 进 行 配置 ,实现 对 敏感 数据 

【知识 点 】 

网 址 过 滤 、URL 类 ,安全 策略 。 

[5 z i8 5 ] 

A 公司 为 保护 公司 信息 资产 ,要求 对 公司 网 络 中 传输 的 数据 进行 过 滤 ,避免 敏感 、 机 
密 数 据 的 非法 传输 。 张 经 理 要 求 安全 运 维 工程 师 小 王 在 人 侵 防 御 设 备 中 配置 对 敏感 信 


息 、 文 件 的 过 滤 功 能 ,实现 对 敏感 数据 的 管控 。 请 思考 应 如 何 对 和 人 侵 防 御 系 统 进 行 配 置 实 
现 对 敏感 数据 的 管控 。 

【实验 原理 】 

关键 字 过 滤 用 于 对 用 户 流 量 的 关键 字 检 查 ,避免 敏感 .机密 数据 的 非法 传输 。 

文件 控制 用 于 限制 用 户 以 HTTP、FTP 方式 上 传 或 下 载 特定 格式 的 文件 ,以 确 你 员 
工 工作 环境 的 安全 性 .避免 涉 密 文 件 的 外 流 等 。 该 功能 目前 文 持 mp3、mp4、msdoc、ms- 
docx, pdf, rar, flv, tgz avi. rmvb,exe,zip 这 12 种 文件 类 型 的 过 小 ,并 支持 过 小动作 可 配 
px 


【实验 设备 】 

安全 设备 : SecIPS 3600 人 侵 防 御 系 统 设 备 1 台 。 

网 络 设备 : EHE. 

主机 终端 Windows 2003 SP2 主机 1 台 ,Windows XP SP3 主机 1 台 ,Windows 7 
主机 1 台 。 

【实验 拓扑 】 

和信 侵 防御 系统 敏感 数据 管控 实验 拓扑 图 如 图 3-26 所 示 。 

【实验 思路 】 

(1) 配置 桥接 口 。 

(2) 配置 网 络 接 口 。 

(3) 配置 关键 字 对 象 。 

(4) 配置 文件 控制 对 象 。 
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管理 机 ;10.0.0.22 
图 3-26 和 人 入侵 防御 系统 敏感 数据 管控 实验 拓扑 图 


(50 配置 安全 策略 。 
【实验 步骤 】 


(1) 在 管理 机 中 打开 浏览 器 ,在 地 址 栏 中 输入 入 侵 防 御 系 统 产 品 的 IP 地 址 https:// 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ), 进 入 入 侵 防 御 系 统 的 登录 界面 。 输 入 管理 员 用 户 名 
admin 和 密码 admin 登录 人 侵 防 御 系 统 。 

(2) 当 弹 出 修改 密码 的 窗口 时 , 单 击 * 取 消 ? 按 钮 。 

(3) 登录 人 侵 防 御 系 统 设 备 后 ,会 显示 人 侵 防 御 系 统 的 面板 界面 。 

(4) 选择 面板 上 方 导航 栏 中 的 “网 络 ”>“ 网 络 接口 ”订单 命令 。 

(5) 在 “网 络 接 口 * 界 面 , 单 击 “ 逻 辑 桥 接口 ”的 “十 ”按钮 ,增加 桥接 口 。 

(6) 在 “编辑 逻辑 桥接 口 * 界 面 ,输入 “桥接 口 ID? 为 1, 选中 “启用 桥接 口 ? 右 侧 的 方 
框 ,“ 绑 定 接 口 ” 选 择 “Ge0/0/2,Ge0/0/3”。 

(7) 单 击 “ 确 定 ” 按 钮 ,返回 到 “网 络 接口 ”界面 ,可 见 成 功 增 加 的 桥接 口 。 

(8) 在 "网络 接口 ?界面 ,双击 “以太 网 接口 ?的 Ge0/0/2。 

(9) 在 “编辑 以 太 网 接口 ”界面 ,“ 流 统计 标识 ”选择 inside, 其 他 保持 默认 配置 

(10) 单 击 “ 确 定 ” 按 钮 ,返回 到 “网 络 接口 ”界面 ,再 双击 “以 太 网 接口 ”? 的 Ge0/0/3, 在 
弹出 的 “编辑 以 太 网 接口 ”界面 中 ,“ 流 统计 标识 ”选择 outside, 其 他 保持 默认 配置 。 

(11) 单 击 “ 确 定 ” 按 钮 ,返回 到 “网 络 接口 ”界面 ,可 见 配 置 成 功 的 以 太 网 接口 。 

(12) 选择 面板 上 方 导航 栏 中 的 “资源 ”一 “资源 对 和 象 ”* 亲 单 全 令 。 

(13) 在 “资源 对 象 * 界 面 , 单 击 “ 地 址 对 和 象 ” 的 “十 ”按钮 ,增加 地 址 对 象 ,如 图 3-27 
所 示 。 

(14) 在 “地址 对 象 维护 2? 界面, 输入“ 名称” 为 "地 址 1”, “地址 ”下 一 行 设置 172.16.1.0、 
255.255.255.0, 其 他 保持 默认 配置 。 

(15) 单 击 “确定 ?按钮 ,返回 到 “资源 对 象 " 界 面 。 单 
地 址 对 象 。 

(16) 在 “地 址 对 象 维护 ?界面 ,输入 名称” 为" 地址 2”, "地址 ?下 一 行 设 置 110.10.1.0、 
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图 3-27 ”增加 地 址 对 象 


255.255.255.0, 其 他 保持 默认 配置 。 

(17) 单 击 “ 确 定 ” 按 钮 ,返回 到 “资源 对 象 * 界 面 ,可 见 成 功 增 加 的 地 址 对 象 。 

(18) 选择 面板 上 方 导航 栏 中 的 “资源 ”一 “ 芝 略 对 象 ” 菜 单 从 令 。 

(19) 在 “策略 对 象 ” 的 “关键 字 过 滤 ” 中 单 击 “ 十 ”按钮 ,增加 关键 字 对 象 。 

(200 在 “新 建 关 键 字 过 小 ”界面 ,输入 “关键 字 过 滤 名 称 ” 为 key_value， 字 符 串 ?为 
treasure. " dE" yt $6" 3E" ,其 他 保持 默认 配置 。 

(21) 单 击 界面 上 的 “添加 ”按钮 ,成 功 将 关键 字 添 加 到 "关键 字 列 表 ” 中 。 

(22) 单 击 “ 确 定 ” 按 钮 后 返回 “策略 对 象 ” 列 表 , 可见 添加 的 关键 字 过 滤 对 象 。 单 击 
“策略 对 象 ” 面 板 上 方 导 航 栏 中 的 “文件 控制 ”。 

(23) 在 “文件 控制 ”界面 , 单 击 “十 ”按钮 ,增加 文件 控制 对 象 。 

(24) 在 “新 建文 件 控制 ”界面 ,输入 “文件 控制 名 称 ” 为 ftp_control, 选 中 “FTP FR” 
右 侧 的 “配置 ”。 

(25) “FTP 下 载 ?选择 zip EP RR”, 

(26) 单 击 “确定 ?按钮 ,在 “文件 控制 ?标签 页 中 显示 添加 的 文件 控制 对 象 ,成 功 添 加 
文件 控制 对 象 。 

(27) 选择 面板 上 方 导航 柱 中 的 “策略 ”一 “安全 和 芝 略 ”菜单 全 令 。 

(28) 在 “安全 策略 ”界面 , 单 击 “ 安 全 策略 ”的 “十 ”按钮 ,增加 安全 策略 。 

(29) 在 “新 建 策 略 ” 界 面 , 输 入 “策略 名 称 ” 为 policyl ,在 “策略 条 件 ” 的 “ 源 ” 中 ,“ 源 IP 
对 象 ” 选 择 “ 地 址 1”, 其 他 保持 默认 配置 。 

(30) 单 击 “ 策 略 条 件 ” 的 “目的 ”按钮 ,“ 目 的 IP 对象” 选择 “地 址 2”, 其 他 保持 默认 配置 。 

(31) 单 击 “安全 业务 按钮,“ 文件 控 制 ” 选 择 ftp_control,“ 数 据 过 小 ”选择 key value. 

(32) 单 击 “ 策 略 条 件 ” 的 “动作 ”按钮 ,选中 “操作 ”的 “接受 ”。 

(33) 单 击 “ 确 定 ? 按 钮 ,返回 到 “安全 策略 ?界面 ,可 见 成 功 增加 的 安全 策略 。 

(34) 选择 面板 左 侧 导航 栏 中 的 “管理 ”一 "全 局 配置 ?这 单 售 令 。 
80 
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(350 在 "全 局 配置 ? 春 面 ,确保 "日 志 记 录 开 关 "的 所 有 选项 都 处 于 ON 状态 ,其 他 你 


持 默认 配置 。 
(360 单 击 "确定 ”按钮 ,保存 配置 。 单 击 “ 全 局 配置 "上 方 导航 栏 中 的 “全 局 开关 ” 
按钮 。 


(37) 在 "全 局 开关 ”和 昼 面 ,保证 "流量 统计 ”默认 包 和 策略” 日 志 聚 合 功能 ”的 所 有 选项 
和 “应 用 识别 ”都 处 于 ON 状态 ,其 他 保持 默认 配置 。 


AE | AER | PMS ARR ss 


meen o M 
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amena EM 


RASA mp C 目的 P 
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图 3-28 编辑 “全 局 开关 ” 


(38) 单 击 “确定 ?按钮 ,保存 配置 ,配置 完毕 。 


【实验 预期 】 


(1) PC 不 能 访问 包含 关键 字 的 网 页 
(2) PC 不 能 下 载 ZIP 类 型 的 文件 。 


【实验 结果 】 


1. PC 不 能 访问 包含 关键 字 的 网 页 

d) 登录 实验 平台 对 应 实验 拓扑 左 侧 的 WXPSP3 虚拟 机 ,进入 PC, 如 图 3-29 所 示 。 

(2) 在 WXPSP3 虚拟 机 中 ,双击 昌 面 上 的 Mozilla Firefox, 打 开火 狐 浏览 1 

(3) 在 火狐 浏览 器 的 地 址 栏 输 入 110.10.1.100 后 按 Enter Mt 网 站 (如 
可 以 访问 网 站 ,或许 是 设备 的 设置 没有 生效 ,将 IPS 设备 的 "安全 策略 ”选择 为 “丢弃 ”后 再 
重新 选择 “接受 ”) ,如 图 3-30 所 示 。 

(4) 重新 登录 设备 。 选 择 面板 上 方 导 航 栏 中 的 “策略 ”一 安 全 策略 ? 沫 单 命 令 。 

(5) 在 “安全 策略 ”界面 中 , 单 击 红 框图 标 “ 数 据 过 滤 ” 按 钮 。 
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GE3 172.16.1.1/24 


| 74CMS(Web 服 务 器 ): 
WXPSP3 . 172.16.1.100/24 | 110.10.1.100/24 


管理 机 : 10.0.0.1 
3-29 登录 实验 平台 左 侧 的 WXPSP3 虚拟 机 


TIME 编辑 企 ) 查看 外 ”历史 人 
d Fn uid x 


€ | Œ) | 110.10. 1. 100 


0 


载 入 页 面 时 与 服务 器 的 连接 被 重 置 。 

e HESETA AREARE. ATHE FAA. 

。 如 果 你 无 法 载 入 任何 页 面 ， 请 检查 您 计算 机 的 网 络 连接 。 

e. 如 果 您 的 计算 机 或 网 络 受 到 防火墙 或 者 代 理 服 务 器 的 保护 ， 请 确认 Firefox 已 被 授权 访问 网 络 。 


E 


3-30 dif] Web 网 站 失败 


(6) 在 “编辑 数据 过 小 ”界面 


中 ,“ 数 据 过 小 ”选择 空 ,如 图 3-31 所 示 。 


第 略 名 称 ”| policy1 


utem | 添加 后 不 允许 修改 | 
一 faic 


图 3-31 编辑 数据 过 滤 对 象 
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CD) 单 击 “确定 ”按钮 ,保存 配置 。 重 新 在 实验 拓扑 左 侧 的 WXPSP3 中 登录 110.10.1. 
100 ,成 功 访 问 包 含 关键 字 的 页 面 ,符合 预期 ,如 图 3-32 所 示 。 


594 关于 我 们 帮助 中 心 个 人 求职 企业 招聘 


招贤 纳 士 求职 指南 
000-00000000 联系 我 们 招聘 帮助 
客服 热线 (服务 时 | 间 ，09:00-19:00) 推广 合作 找 回 密码 


法 律 申明 [300-34 


ILF 
借 建 简历 


HAT 


发 布 职位 
名 企 招聘 招聘 服务 


职场 资 计 RIAH 


联系 地 址 123 : oorgooi OA Ri 联系 电话 : 000-00000000 网 站 备案 上 treasure 3tp://110.10.1.180 


Copyright © 2016 T4cms. com All Right Reserved 


Powered by Tácms v4. 1.23 


图 3-32 成 功 登 录 网 站 


2. PC 不 能 下 载 ZIP 类 型 的 文件 


CO 登录 实验 平台 对 应 实验 拓扑 右 侧 的 74CMS。 在 服务 器 中 ,双击 标 红 框 的 FTP 服 
务 器 图 标 ,如 图 3-33 所 示 。 


图 3-33 打开 FTP 界面 


(2) 在 "简单 FTP Server” 界 面 中 ,保证 选中 “开机 启动 下载 文件 “上 传 文件 “删除 
文件 “文件 改名 ”和 “新 建 日 录 ”, 如 图 3-34 所 示 。 


图 3-34 编辑 FTP 服务 器 


(3) 左 侧 的 WXPSP3 虚拟 机 ,进入 PC. Æ WXPSP3 虚拟 机 中 双击 打开 “我 的 电脑 ”。 
(4) 在 地 址 栏 中 输入 ftp: //110.10.1.100 A FÈ Enter 键 , 成 功 访问 FTP 服务 器 ,如 
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图 3-35 所 示 。 


Ey £tp://110. 10. 1. 100/ 
| 文件 (F) Sm) 查看 人 ”收藏 外 ) IRT #0 H) 


M i S D jos Der mh ud 
ii in 1 [1 
四 0 加 


M a E Inetpub Java Frogram WINDOWS wmpub WWW 
Files 


9 Internet Explorer 


pes eass enop a 


«J 网 上 邻居 AUTÜEXEC. . CONFIG. STS  eula.205... globdata... install. exe install. ini install.... 


install, sgl test, exe VC RED. id VC RED. MSI veredist... virus. exe 


图 3-35 ”成 功 访 问 FTP 服务 融 


(5) 将 服务 器 中 的 virus.zip 文件 拖 归 到 桌面 ,显示 失败 信息 ,初步 判断 策略 生效 ,如 
3-36 所 示 。 
"ac ftp://110. 10. 1. 100/ 


Er Prpa... 


I S ) 
EE 正在 复制 “virus. rip 
P) C:\Documents and SettingsiAdmini strator\ A 


复制 此 项 目 


X HMB CONFIG.SYS eula.205... globdata.. 


HERA 


B Internet Explorer 
O 我 的 文档 
p 共享 文档 
*J 网 上 部 居 


| VC RED. cab VC RED MSI vweredist... 


图 3-36 下载 文件 失败 


(6) 重新 登录 设备 。 选 择 面板 上 方 导 航 栏 中 的 "策略 ?一 “安全 策略 ? 沫 单 命令 ,在 “ 安 
全 策略 ”界面 中 单 击 红 框 “文件 控制 ?按钮 ,如 图 3-37 所 示 。 
(7) 在 “编辑 文件 控制 ?界面 中 ,文件 控制 ?选择 空 ,如 图 3-38 所 示 。 
(8) 半分 钟 后 ,重新 在 实验 拓扑 左 侧 的 WXPSP3 中 登录 ftp: //110.10.1.100 ,成 功 把 
virus.zip 文件 拖 归 到 桌面 上 ,下 载 成 功 ,符合 预期 ,如 图 3-39 所 示 。 
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图 3-37 打开 文件 控制 对 象 


sean 


拱 述 信息 ”| 添加 后 不 允许 修改 | 
一 策略 条 件 -一 一 


图 3-38 ”编辑 文件 控制 对 象 


EF ftp://110. 10. 1. 100/ 
tH sig zo) um) 工具 立 ) 帮助 出 ) 


Qa- O- B ms rer 国 - 


ait Q | 二 ftp: //110. 10. 1. 100/ 


Do Do B 


= CJ 
KERE o Docunents Java Program WINDOWS wnpub vi 

S Internet Explorar noii FELNE 

E » re» s 
G 共享 文档 Ld 

*J Aham CONFIG. SIS eula. 205... globdata... install. exe install. ini install.... 


a 1$ 
| ET 1 —xK— 


HEAD VC REDOGSI veredist, 


图 3-39 成功 下 载 文 件 
85 


入 侵 检 测 与 入 侵 防 御 实 验 指导 


【实验 思考 了 
请 思考 怎样 阻止 人 侵 者 上 传 EXE 类 型 文件 ? 


34 ARDEUR URL 党 控 实验 


【实验 目的 】 

配置 不 同安 全 策略 过 滤 网 址 并 对 URL 进行 管控 。 

【知识 点 】 

网 址 过 滤 、URL 类 .安全 策略 。 

[5 z 18 15] 

A 公司 的 张 经 理发 现 公 司 有 部 分 员工 工作 时 间 访 问 游戏 .视频 类 网 站 ,还 有 部 分 员 
工 访 问 客户 网 站 时 超出 了 访问 范围 (如 访问 购物 的 子 类 页 面 )。 为 了 加 强 管 理 , 张 经 理 要 
求 安 全 运 维 工程 师 小 王 在 不 影 啊 正常 业务 访问 要 求 的 情况 下 ,对 某 类 网 址 进行 管控 ,实现 
公司 网 络 环境 的 净化 管理 。 小 王 计 划 利 用 和 人 侵 防 御 系 统 中 的 网 址 过 滤 和 URL 类 实现 相 
KER ,请 思考 应 如 何 配 置信 侵 防御 系统 的 网 络 接口 。 

【实验 原理 】 


对 用 户 访 问 的 网 址 进行 检查 ,通过 日 名 单 、 黑 名 单 控制 用 户 可 访问 的 网 站 。 用 户 访 问 
的 网 站 按 类 别 分 类 创建 不 同 的 URL. 类 ,从 而 配置 不 同 的 安全 条 略 对 URL 进行 管控 。 


【实验 设备 】 

安全 设备 : SecIPS 3600 人 侵 防 御 系 统 设备 1 台 。 

网 络 设备 : 路 由 器 1 台 , 交 换 机 1 台 。 

EHL m: Windows 2003 SP2 主机 2 台 ,Windows XP SP3 主机 2 台 ,Windows 7 
主机 1 台 。 

【实验 拓扑 】 

和信 侵 防御 系统 URL 管控 实验 拓扑 图 如 图 3-40 所 示 。 

【实验 思路 】 

(D 配置 桥接 口 。 

(2) 创建 地 址 对 象 。 

(3) 创建 网 址 过 滤 黑 ,日 名 单 ,配置 对 应 的 策略 。 

(4) 创建 新 的 URL 分 类 ,配置 对 应 的 策略 。 
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图 3-40 入侵 防 御 系统 URL 管控 实验 拓扑 图 


[3:36:45 8 


(OD 在 管理 机 中 打开 浏览 器, 在 地 址 栏 中 输入 入 侵 防 御 系 统 产品 的 IP 地址 https:// 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ), 进 入 入 侵 防 御 系 统 的 登录 界面 。 输 入 管理 员 用 户 名 
admin 42 fid ! 11w(22soc € 3vpn 登录 入 侵 防 御 系 统 。 在 弹出 的 提示 修改 密码 界面 中 输 
人 “取消 ”按钮 。 

(2) 登录 入侵 防御 系统 设备 后 ,会 显示 入 侵 防 御 系 统 的 面板 界面 。 

(3) 选择 面板 上 方 导 航 栏 中 的 "网络 ”>“ 网 络 接口 ”六 单 命令 。 

(4) 在 “网 络 接口 ?界面 找到 “逻辑 桥接 口 ? 部 分 , 单 击 “十 ?按钮 创建 新 的 逻辑 桥 。 

(5) 在 “十 ”界面 ,输入 “桥接 口 ID” 为 10 ,选中 “局 用 桥接 口 ?“ 绑 定 接口 ?选择 “Ge0y7 
0/2.Ge0/0/3", 

(6) AF TB x E7; SE NUES Pn BJ SEUR T" ESOS AR SES IE. 

(7) 在 “资源 对 象 * 界 面 , 单 击 “地 址 资源 ”的 “十 ”按钮 ,增加 地 址 对 象 。 

(8) 在 “十 界面, 输入“ 名称” 为 any ,选中 “网 段 ", “地址 框 ” 中 输入 0.0.0.0,“ 子 网 掩 
码 ” 选 择 0.0.0.0, 

(9) 选择 面板 上 方 导航 栏 中 的 “资源 ”一 “策略 对 象 ” 六 单 命令 。 

(10) 在 “策略 对 象 ” 界 面 , 单 击 “ 网 址 过 滤 ” 的 “十 ”按钮 ,创建 黑白 名 单 。 

(1D 在 “十 ”界面 ,“URL 过 滤 名 称 ” 输 入 noshop,“ 黑 名 单 过 滤 方 式 ” 和 选择“ 关键 字 ”， 
"URL 黑 名 单 ? 输 入 110.16.2.100 确认 无 误 后 单 击 “ 添 加 ”按钮 ,“ 白 名 单 过 滤 方 式 ” 选 择 
“关键 字 ”,“URL 白 名 单 ? 输 入 110.16.1.100 确认 无 误 后 单 击 “ 添 加 ”按钮 ,最 后 单 击 “ 确 
定 ” 按 钮 。 

(12) 在 “ 末 略 对 象 ” 界 面 , 选 择 “URL 类 ”。 

(13) 在 “URL 类 ”界面 选择 “URL 目 定 义 类 ”部 分 , 单 击 “十 ”按钮 新 建 URL 类 。 
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(14) 在 “十 ”界面 ,“ 组 名 称 ” 输 入 nothing. “URL 地 址 ”输入 110.16. 1.100, Hd; “Z 
加 ”按钮 。 

(15) 在 “十 ”界面 , 回 nothing 组 继续 添加 URL 地 址 ,在 “URL 地 址 ”输入 110.16.2. 
100, 单 击 “ 添 加 ”按钮 ,确认 信息 无 误 后 单 击 “ 确 定 ” 按 钮 。 

(160 在 “URL 类 ”界面 选择 “URL 类 ”部 分 , 单 击 “ 十 ”按钮 创建 新 的 URL 分 类 ,如 
图 3-41 所 示 。 


" at 
361.135.169.125 ( F-E 
http;// , 3EBOSSLIBSURL&S 
SEMEL] , 如 


61.135.169.125:8080 ) ,UR 
Me ap j ateSEURL E 


ABS SN, 


ML « » » s | [4:16 
图 3-41 创建 新 的 URL 分 类 


(17) 在 “十 ”界面 ,“ 分 类 和 名称” 输入 noshop ,在 “URL 分 类 列表 ”中 找到 新 建 的 分 类 
nothing; 单 击 二 二 按钮 ,最 后 单 击 “确定 即 可 ”按钮 。 

(18) 选择 面板 上 方 寻 航 栏 中 的 “ 案 略 ”安全 策略 ? 沫 单 命 令 ,在 “安全 策略 ?界面 单 
击 “ 十 ”按钮 添加 新 的 安全 祖上 略 。 

(19) 在 “编辑 策略 ?界面 “策略 名 称 ? 输 入 noshop, 选 择 “ 源 ”,“ 源 IP 对 象 ? 选 择 any. 

(20) 在 “编辑 策略 ”界面 ,选择 “目的 ",“ 目 的 IP 对 过? 选择 any. 

(21) 在 “编辑 策略 ”界面 ,选择 “URL 分 类 ”,“URL 分 类 ”选择 noshop. 

(22) 在 “编辑 策略 ”界面 ,选择 “安全 业务 ”,“URL 过 滤 ? 选 择 noshop, 其 他 保持 默认 配置 。 

(23) 在 “编辑 营 略 "界面, 选择“ 动作”, “操作 ”选择 接受”, 确认 无 误 后 单 击 “确定 ” 
按钮 。 


【实验 预期 】 


配置 应 用 新 的 安全 策略 后 成 功 地 对 URL 进行 了 管控 ,同属 于 一 个 URL 分 类 的 两 个 
不 同 网 站 ,只 有 在 URL 过 滤 的 日 名 单 中 才 可 以 访问 。 


【实验 结果 】 


d) 登录 实验 平台 对 应 实验 拓扑 左 侧 的 任意 一 台 WXPSP3 虚拟 机 (代表 公司 的 不 同 
部 门 ) ,如 图 3-42 所 示 。 
(2) 双击 虚拟 机 桌面 上 的 火狐 浏览 器 。 
(3) 在 火狐 浏览 器 地 址 栏 中 输入 http://110.16.1.100( 在 URL 过 滤 白 名 单 中 ) ,确认 
无 误 后 按 Enter 键 成 功 转 到 相应 网 站 ,符合 预期 ,如 图 3-43 Bron, 
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3-42 登录 左 侧 的 任意 一 台 WXPSP3 虚拟 机 


EXER 。 招聘 信息 MEM ”求职 信息 ”本 工具 箱 HAA ay 进入 


当前 位 置 : MAST 


ieXy x. 0 AAi: 0 有效 简历 0 A. 


鼠 近 更 新 职位 。 写字 桂 


道路 搜索 职位 。 iex a 


— 


图 3-43 网 站 


(4) 在 火狐 浏览 器 地 址 栏 中 输入 http://110.16.2.100 CRE URL 过 滤 白 名 单 中 ) , 确 
认 无 误 后 按 Enter 键 , 发 现 不 能 转 到 相应 网 站 ,URL 管控 成 功 符合 预期 ,如 图 3-44 所 示 。 


连接 被 重 置 


载 入 页 面 时 与 服务 器 的 连接 被 重 置 。 


。 此 站 点 暂时 不 可 用 或 者 太 忙 。 请 稍 后 再 试 。 
。 如 果 您 无 法 载 入 任何 页 面 ， 请 检查 您 计算 机 的 网 络 连 摘 ， 


a 


e 如 果 您 的 计算 机 或 网 络 受 到 防火 坑 融 者 化 理 服务 器 的 保护 ， 请 确认 Firefox 已 被 授权 访 
[p 


图 3-44 连接 失败 


AUR M) ES AAR E 4p 3c 3 d8 AF 
(5) 综 上 所 述 ,配置 好 新 的 安全 策略 后 成 功 地 对 URL 进行 了 管控 ,符合 预期 。 
【实验 思考 】 
右 需 要 访问 的 网 址 处 于 管控 中 ,应 如 何 申请 访问 ? 
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【实验 目的 】 

管理 员 通 过 对 人 侵 防 御 系 统 的 人 侵 特 征 对 象 、 防 病毒 对 象 进行 配置 ,实现 对 病毒 数据 

【知识 点 】 

入 侵 特 征 对 象 .策略 对 象 - 防 病毒 、. 防 垃圾 邮件 S 病毒 - 防 病毒 。 

[5 z i8 3 ] 

A 公司 的 安全 运 维 工程 师 小 王 收 到 一 个 部 门 中 的 多 位 同事 反馈 计算 机 出 现 死 机 现 
象 ,小 王 怀 疑 该 部 门 中 有 病毒 程序 传播 。 为 保证 不 传播 到 其 他 部 门 ,小 王 需要 配置 该 部 门 
入 侵 防 御 系 统 中 的 防 病 毒 功 能 ,对 流 经 的 数据 进行 过 滤 。 请 思考 应 如 何 配 置 人 侵 防 御 系 
统 的 防 病毒 功能 。 

【实验 原理 】 

和信 侵 特征 对 象 用 于 配置 IPS 策略 ,对 用 户 流量 中 的 入 侵 报 文 进行 检测 ,确保 用 户 安全 


地 使 用 网 络 。 
防 病毒 用 于 检查 用 户 流 量 的 病毒 ,确保 用 户 安 全 地 使 用 网 络 ,避免 因 感 染病 毒 市 来 的 
不 必要 损失 。 


基于 邮件 代理 的 病毒 过 滤 策 略 能 够 以 邮件 代理 方式 针对 SMTP, POP3, IMAP 三 大 
邮件 协议 进行 病毒 检查 ,及 时 发 现 携带 病毒 邮件 ,并 根据 用 户 上 面 的 处 置 动 作 配置 ,从 而 
灵活 地 处 理 病毒 邮件 。 

基于 协议 识别 的 病毒 过 滤 策 略 增 加 了 应 用 比较 广泛 的 HTTP、FTP 等 传输 文件 的 病 
毒 扫 描 , 同 时 ,该 功能 通过 依赖 产品 的 协议 识别 功能 .有 效 防 止 攻击 者 通过 修改 端口 逃避 
病毒 扫描 的 情况 。 

【实验 设备 】 

安全 设备 : SecIPS 3600 入 侵 防 御 系 统 设备 1 台 。 

网 络 设备 : 路 由 器 1 台 , 交 换 机 1 台 。 

EHL m: Windows 2003 SP2 主机 1 台 ,Windows XP SP3 主机 2 台 ,Windows 7 
主机 1 台 。 
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【实验 拓扑 】 
入 侵 防御 系统 安全 防御 管控 实验 拓扑 图 如 图 3-45 所 示 。 


74CMS(CWeb 服 务 器 ) . 
110.10.1.100/24 


WXPSP3: 172.16.1.100/24 


WXPSP3: 110.10.1.101/24 


L0'001I ' I3D 


Dm 


管理 机 : 10.0.0.22 
图 3-45 ”入 侵 防御 系统 安全 防御 管控 实验 拓扑 图 


【实验 思路 】 


(D 配置 桥接 口 。 

(2) 配置 网 络 接口 。 

(3) 配置 ACL 对 象 。 

(4) 配置 人 侵 特 征 对 象 。 

(5) BOR BI SEO AR. 

(6) 配置 安全 策略 。 

C 配置 防 垃圾 邮件 GO 病毒 。 


【实验 步骤 了 


(1) 在 管理 机 中 打开 训 览 硕 , 在 地 址 芒 中 输入 入 侵 防 御 系 统 产 品 的 IP 地 址 https:// 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ) ,进入 入 侵 防 御 系 统 的 登录 界面 。 输 入 管理 员 用 户 名 
admin 和 密码 admin 登录 和信 侵 防御 系统 。 

(2) 当 弹 出 修改 密码 的 窗口 时 , 单 击 “ 取 消 ” 按 钮 。 

(3) 登录 入 侵 防 御 系 统 设 备 后 ,会 显示 人 侵 防 御 系 统 的 面板 界面 。 

(4) 选择 面板 上 方 导航 栏 中 的 “网 络 ”>“ 网 络 接口 ”订单 命令 。 

(5) 在 "网络 接口 ?界面 , 单 击 “逻辑 桥接 口 ? 的 “十 ?按钮 ,增加 桥接 口 。 

(6) 在 “编辑 逻辑 桥接 口 * 界 面 ,输入 “桥接 口 ID? 为 1, 选中 "启用 桥接 口 ?>，“ 绑 定 接 
口 ” 选 择 “Ge0/0/2,Ge0/0/3”。 

(7) 单 击 "确定 ?按钮 ,返回 到 “网络 接口 界面 ,可 见 成 功 增 加 的 桥接 口 。 
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(8) 在 “网 络 接口 ”界面 ,双击 “以 太 网 接口 ”的 Ge0/0/2。 

(9) 在 “编辑 以 太 网 接口 ”界面 ,“ 流 统计 标识 ”选择 inside ,其 他 保持 默认 配置 。 

(100 单 击 “确定 ”按钮 ,返回 到 “网 络 接口 ?界面 ,再 双击 "以太 网 接口 ?的 Ge0/0/3, 在 
弹出 的 “编辑 以 太 网 接口 ”界面 中 ,“ 流 统计 标识 ”选择 outside, 其 他 保持 默认 配置 。 

(11) 单 击 “确定 ?按钮 ,返回 到 “网 络 接口 ?界面 ,可 见 配置 成 功 的 以 太 网 接口 。 

(12) HF HRED FIPA EUR T" VE USOGE RC SEG D s 

(13) 在 “资源 对 象 ? 界 面 , 单 击 “地 址 对 象 ” 的 “十 ”按钮 ,增加 地 址 对 象 。 

(14) 在 “地 址 对 象 维护 ?界面 ,输入 "名称 ” 为 “地 址 1? “地 址 ?下 一 行 设 置 172.16.2.0、 
255.255.255.0, 其 他 保持 默认 配置 。 

(15) 单 击 “ 确 定 ” 按 钮 ,返回 到 “资源 对 象 * 界 面 。 单 击 “ 地 址 对 销 ” 的 “十 ”按钮 , 培 加 
地 址 对 象 。 

(16) 在 “地 址 对 象 维护 ”界面 ,输入 “名 称 ” 为 “地 址 2”, “地址 ”下 一 行 设置 110.10.1.0、 
255.255.255.0, 其 他 保持 默认 配置 。 

(17) 单 击 “确定 ?按钮 ,返回 到 “资源 对 象 ” 界 面 , 可 见 成 功 增 加 的 地 址 对 象 。 

(18) 单 击 “资源 对 象 ” 面 板 上 方 导航 栏 中 的 ACL, 在 ACL 界面 中 单 击 “十 ”按钮 , 增 
加 ACL 对 象 。 

(19) Æ ACL 界面 ,输入 *ACL 名 称 ” 为 acll. “J IP 地 址 ?为 172.16.2.0. * Ji [e] & HE 
码 ” 为 255.255.255.0. ^ FL B] IP 地 址 ”为 110.10.1.0, * EL B Ped 2& di fi" y 255.255.255.0, 其 
他 保持 默认 配置 。 

(20) 单 击 “确定 ”按钮 ,返回 到 ACL 界面 ,可 见 成 功 添 加 的 ACL 对 象 。 选 择 面 板 上 
方 导航 栏 中 的 “资源 ”一 “策略 对 象 ” 菜 单 命令 ,如 图 3-46 所 示 。 


地 址 资源 | 用 户 管理 | 应 用 组 对 条 | enan | 自 坪 义 协议 | 域 对 条 | maas DA enses | ; 这 


ACEL 关 产品 meh T xir 
的 过 滤 功 读 ,是 一 姐 匹 配 融 
据 包 的 有 序 指 全 列表。 产 录 
BJACLO ETUR TER, TT 
EE RD EE 
aspe mE, MAAN 
县 使 树 作 由 引用 该 &CL 的 应 
ber 


{Ta 
ACLEFE : 唯一 标 TACL ， 
可 由 1-20 RE Sr. 下 划 


maw lv (07 [Ie 


图 3-46 打开 策略 对 象 


(21) 单 击 “ 策 略 对 象 ” 面 板 上 方 导航 栏 中 的 “入 侵 特 征 对 象 * 按 钮 ,在 此 界面 中 单 击 
“十 ”按钮 ,增加 特征 策略 对 象 。 

(22) 在 “编辑 IPS 东 略 ”界面 ,输入 “IPS 特征 策略 名 称 ” 为 ipsl1,“ 请 选择 IPS 模板 ” 选 
择 ips。 

(23) 单 击 “确定 ?按钮 x [n] S] REDE ART TEE. Iul RAT AR C BR E A SE ALES TB 
的 “ 防 病毒 ”, 之 后 单 击 “ 十 ”按钮 增加 防 病毒 对 象 。 

(24) 在 “新 建 防 病毒 ”界面 ,输入 “ 防 病毒 名 称 ” 为 re_virus, 其 他 保持 默认 配置 。 
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(25) 单 击 "确定 ?按钮 ,返回 到 "策略 对 象 ? 界 面 , 可 见 成 功 增加 的 防 病毒 对 象 。 选 择 
SecIPS 3600 主 面板 上 方 导航 栏 中 的 “策略 ”一 “安全 策略 ”菜单 命令 。 

(26) 在 “安全 策略 ”界面 , 单 击 “安全 策略 ”的 “十 ”按钮 ,增加 安全 策略 。 

(27) 在 “新 建 策 略 ” 界 面 , 输 入 “和 芝 上 略 名 称 ” 为 policy1 ,在 “策略 条 件 ” 的 “ 源 ” 中 ,“ 源 IP 
对 象 ” 选 择 “ 地 址 1”, 其 他 保持 默认 配置 。 

(28) 单 击 “ 策 略 条 件 ” 的 “目的” 按钮,“ 日 的 IP 对象” 选择 "地址 2”, 其 他 保持 默认 配置 。 

(29) 单 击 “安全 业务 ”按钮 ,“ 入 侵 防 护 ” 选 择 ipsl1,“ 防 病毒 ”选择 re virus. 

(30) 单 击 “策略 条 件 ? 的 “动作 ”按钮 ,选中 “操作 ”的 “接受 ”。 

(31) 单 击 “ 确 定 ” 按 钮 ,返回 到 “安全 策略 ”界面 ,可 见 成 功 添加 的 安全 策略 。 选 择 Se- 
cIPS 3600 主 面板 上 方 导航 栏 中 的 “策略 ”>“ 防 垃圾 邮件 O 病毒 ”菜单 命令 。 

(32) 在 “ 防 垃圾 邮件 & 病毒 ”界面 , 单 击 “ 防 病毒 ”按钮 ,之 后 单 击 红 框 标识 的 下 拉 
按钮 。 

(33) 在 “基于 协议 识别 的 病毒 设置 "界面 , 单 击 红 框 标识 的 “十 ”按钮 ,设置 基于 协议 
识别 的 病毒 过 小 设置 。 

(34) 在 “基于 协议 识别 的 病毒 设置 "界面 ,ACL 选择 acll1,“ 选 定 的 过 滤 策 略 列表 ” 选 
择 “HTTP、FTP、SMTP、POP3、IMAP”。 

(35) 单 击 “ 确 定 ” 按 钮 ,设置 完毕 。 

(36) 选择 SecIPS 3600 主 面板 上 方 导航 栏 中 的 “管理 ”>“ 全 局 配置 ”菜单 命令 。 

(37) 在 “全 局 配置 “界面, 确保“ 日志 纪 录 开 关 ” 的 所 有 选项 都 处 于 ON 状态 ,其 他 保 
持 默 认 配 置 。 

(38) 单 击 “ 确 定 ” 按 钮 ,保存 配置 。 单 击 “ 全 局 配置 "上 方 导航 栏 中 的 “全 局 开关 ” 
按钮 。 

(39) 在 “全 局 开关 ”界面 ,保证 “流量 统计 ”“ 默 认 包 过 上 略 ”“ 日 志 聚 合 功 能 ”的 所 有 选项 
和 “应 用 识别 ”都 处 于 ON 状态 ,其 他 保持 默认 配置 。 

(40) 单 击 “ 确 定 ” 按 钮 ,保存 配置 ,配置 完毕 ， 


【实验 预期 
病毒 文件 未 被 成 功 下 载 。 
【实验 结果 】 


(OD 登录 实验 平台 对 应 实验 拓扑 右上 角 标 红 框 的 服务 硕 74CMS, 如 图 3-47 所 示 。 

(2) 在 服务 器 中 ,双击 标 红 框 的 FTP 服务 器 图 标 , 如 图 3-48 所 示 。 

(3) 在 “简单 FTP Server” 界 面 , 保 证 选中 “开机 启动 “下载 文件 “上 传 文件 “删除 文 
件 ”“ 文 件 改 名 ”和 “新 建 日 录 ”, 如 图 3-49 所 示 。 

(4) 返回 到 实验 拓扑 ,进入 左 侧 的 WXPSP3 虚拟 机 ,进入 PC1, 如 图 3-50 所 示 。 

(5) 在 WXPSP3 中 ,双击 打开 “我 的 电脑 ”。 

(6) 在 打开 的 界面 中 ,在 地 址 栏 中 输入 ftp: //110.10.1.100 后 按 Enter 键 ,可 见 FTP 
服务 右 的 资源 。 双 击 打开 文件 来“ 病毒 样本 ”, 如 图 3-51 Bron, 
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74CMS(Web 服 务 器 ) . 
110.10.1.100/24 


WXPSP3: 110.10.1.101/24 


管理 机 : 10.0.0.22 
图 3-47 登录 右上 角 的 服务 器 74CMS 


Ei 
Raso p ”最 大 连接 妆 [ioo 
一 一 


| 间 单 FTP Server 
| AS O)w STET 10:14 
3-48 打开 FTP 界面 


^ JACMS(WebBR 538) . 
110.10.1.100/24 


WXPSP3; 110.10.1.101/24 


3-50 ”登录 左 侧 的 WXPSP3 
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F3 ftp://110.10. 1. 100/ fa lm p 
tH REY oo 收藏 以) IAM 帮助 加 e 


Om- © -HF Pa Dr 回 : 
地 址 四) (eus /7110.10.1. 100/ Á i 
o o D o o 


Documents Java Program WINDOWS wmpub 
and S i 


Sa... Files 


E Internet Explorer 


cpu g 868 n B s 


*J 网 上 邻居 N ... CONFIG. SIS eula 205... globdata .. install. . exe install. ini install.... 
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install.sql VC RED.cab VC RED.MSI veredist... 


3-531 HFAA 


(7) 在 “病毒 样本 ”文件 夹 中 可 见 一 个 病毒 资源 ,将 它 抑 忠 到 果 面 ,发 现 系 统 提示 一 下 
处 于 复制 状态 ,并 报错 ,不 能 成 功 下 载 病毒 文件 ,如 图 3-52 所 示 。 


正在 复制 “hddkil11. zip’ 
5] “C:\Documents and Settings'Administrator' m [HI 


m) 重 命名 此 项 目 
Gy 移动 此 项 目 
复制 此 项 目 
x 删除 此 项 目 


HERE 
($J 110. 10. 1. 100 
O mures 
站 共享 文档 
«4g 网 上 邻居 


| * TERN 


图 3-52. 下 载 病毒 文件 失败 


(8) 单 击 “ 确 定 ” 按 钮 ,终止 下 载 病毒 文件 。 
(9) 在 管理 机 中 打开 浏览 间 ,在 地 址 栏 中 输入 入 侵 防 御 系 统 产 品 的 IP 地 址 https:// 
10.0.0.1( 以 实际 设备 TP 地 址 为 准 ), 进 入 入 侵 防 御 系 统 的 登录 界面 。 输 入 管理 员 用 户 名 
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admin 和 和 密 公 admin 登录 入侵 防 御 系 统 。 选 择 面 板 上 方 导 航 栏 中 的 “资源 ”一 宁 略 对 象 ” 
菜单 命令 ,如 图 3-53 所 示 。 


WE admin & = E D #-~- 


aM NGIPS 


Eu IU ET. 


Dex 


接口 Ji OUTBOUNDSEE 
1  GeQ/0/i 162.33 Kbps 14.00 Kbps 
; GeüU/D/2 Q 

Geüy0f3 0 

Geü/0j4 0 


| PSAE LENERS EIRTOPS 


时 间 事件 级 中 特征 ID i XN 
TORT 


3-93 打开 策略 对 象 


(10) 在 “策略 对 象 * 界 面 , 单 击 “ 防 病毒 ”按钮 ,之 后 双击 打开 re virus 对 象 , 如 图 3-54 
所 示 。 


re virus 


mum [ir (07 


图 3-54 打开 防 病毒 对 象 


(11) 在 “编辑 防 病毒 ?界面 ,FTP 选择 “通过 ”, 其 他 保持 默认 配置 ,如 图 3-55 所 示 。 


编辑 防 病毒 
防 病 过 名 称 


HTTP Ea m * FE 


mP Bess 


图 3-55 ”编辑 防 病毒 


(12) 单 击 * 确 定 "按钮 ,返回 到 * 防 病毒 界面 。 选 择 面板 上 方 导 航 栏 中 的 “策略 ”~ 
“ 防 垃圾 邮件 & 病毒 "菜单 命令 ,如 图 3-56 所 示 。 
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NGIPS 
ILLI 


(BEES 
ms | Pubs | unie | Aem o emu |o uu. 
| 
DDoS 防护 
a Jd, 
uu | | | i FP | bim 


re wirus EH maae 
租户 管理 


CNS 咏 护 


mou m, vi[io vj[1]9 


图 3-56 ”打开 * 防 垃圾 邮件 & 病毒 ” 


(13) 在 “ 防 垃圾 邮件 S- 病毒 ”界面 中 , 单 击 “ 防 病毒 ”按钮 。 之 后 双击 打开 acll ,如 
3-57 所 示 。 


Lir: din ril 


防 病 志 过 波 设置 IDEE. 
SETHA THAISE. 
HEE Gamps 自 标记 ORS 


P 


防 质 去 过 省 设 音 
用 于 指定 所 扫 拉 最 大 的 玄 忻 
大 小 及 设 定 针对 病 雪 邮 件 或 
| SEMINEE, 


: =- 要 配置 “邮件 代理 ”页 。 
TMR STERRATA 
B5Àpaex em 
— 三 smtp. pop3. 
ACL imap. hito: ^ : quati 


gs. 该 功能 号 以 应 征 识 别 为 
基础 , 相 据 应 用 座 别 出 的 不 
处 理 ， 园 此 开启 该 功 郁 的 同 
时 过 妻 开店 应 用 识别 功能 。 


3-57 打开 acll 
(14) 在 “基于 协议 识别 的 病毒 设置 "界面 中 ,ACL 选择 acll,“ 选 定 的 过 小 策略 列表 ” 
取消 选择 FTP, 如 图 3-58 所 示 。 


ACL 
TENNE ] 


(15) 单 击 “确定 ?按钮 ,配置 生效 。 登 录 实 验 平台 对 应 拓扑 左 侧 的 WXPSP3 ,进入 
PC1 ,如 图 3-59 FFR. 
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/74CMS(Web 服 务 器 ). 
110.10.1.100/24 


WXPSP3. 172.16.1.100/24 


WXPSP3: 110.10.1.101/24 


管理 机 : 10.0.0.22 
3-59 登录 左 侧 的 WXPSP3 


(160 双击 打开 “我 的 电脑 ”, 在 弹出 的 界面 的 地 址 栏 中 输入 ftp: //110.10.1.100 后 按 
Enter 键 ,成 功 登 录 FTP 服务 器 。 在 FTP 服务 器 文件 资源 中 双击 打开 “病毒 样本 ”文件 
Ime "x "RE 


By Ftp: A/110. 10.1. 100/ 
fn ado 查看 WV) BRW IAW  WRB00 


Qa- O- 9$ Jos wr fi 


HERE 3 — J J 
[ à; oc z Java Progran TINDONS 
MB Internet Explorer Ea "en 


.. CONFIG. SYS  eula 205... 


install. sgl VC RED. cab VC RED. MSI  veredist... 


3-60 ”打开 “病毒 样本 ”文件 夹 


(17) 在 “病毒 样本 ”文件 夹 中 可 见 病毒 资源 hddkill.zip。 将 它 拖 忠 到 桌面 ,双击 打开 
病毒 包 ,无 提示 错误 信息 ,说 明成 功 下 载 病毒 包 , 设 置 的 策略 有 效 ,符合 了 预期 ,如 图 3-61 
所 示 。 


【实验 思考 】 
请 思考 ,怎样 阻止 病毒 文件 通过 邮件 传输 给 客户 ? 
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à ftp:/ 7/110. 10. in0o7 病 毒 样本 / 
E cto (HD EO X 


o- © d JOsm E sea | m 


acts Uh 各， 


3/4 dd do Xt c 


图 3-61 成 功 下 载 病 毒 包 


【实验 目的 了 

配置 入 侵 防御 系统 防 垃圾 邮件 & 病毒 功能 对 信息 系统 内 的 邮件 进行 清理 。 
【知识 点 了 

ACL ,邮件 代理 、 防 垃圾 邮件 .基于 邮件 代理 的 过 滤 设 置 。 

[5 2:18 i) 


A x n] dc Ais f Té f^ E 85 2) ZA HIA rp i E — 03 15 JA EE FJ BEIC PE > ^ E TIRE 
公司 网 络 中 有 携 审 病毒 程序 的 垃圾 邮件 传播 。 为 确 你 公司 网 络 环境 的 正 第 运行 ,小 王 需 
要 配置 人 侵 防 御 系 统 中 的 垃圾 邮件 过 滤 和 病毒 过 渡 功 能 对 邮件 进行 清洗 ,请 思考 应 如 何 
配置 入 侵 防 御 系 统 的 相关 功能 。 
【实验 原理 】 
基于 用 户 配置 的 ACL KA APEN HE HC AS de. LAB TETUER 7r X £F XJ SMTP, POP3, 
IMAP 三 大 邮件 协议 进行 病毒 检查 ,及 时 发 现 携 市 病毒 邮件 实现 病毒 过 滤 功 能 。 垃 圾 邮 
件 会 造成 网 络 和 服务 右 的 资源 浪费 ,垃圾 邮件 过 滤 功 能 基于 代理 实现 ,分 为 SMTP、POP3 
和 IMAP 三 部 分 ,创建 关键 子 过 滤 各 上 略 , 设 定 网 络 地 址 阻 断 的 圭 日 名 单 可 以 对 垃圾 邮件 
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进行 过 小。 


【实验 设备 】 

安全 设备 : SecIPS 3600 入 侵 防 御 系 统 设 备 1 台 。 

网 络 设备 : 路 由 器 1 台 , 交 换 机 1 台 。 

EHL m: Windows 2003 SP2 主机 1 台 ,Windows XP SP3 主机 3 台 ,Windows 7 


【实验 拓扑 】 
入侵 防御 系统 邮件 管控 实验 拓扑 图 如 图 3-62 所 示 。 


I 
[ |] = 
"TM 


一 


WXPSP3 . 172.16.1.100/16 | W3SP2 服 务 器 . 
Mz NE GE3 CX) 110.16.1.100/24 
下 一 一 172.16.1.1/16 U N 
Eo 
E 110.16.2.1/24 
| 


lox = 
WXPSP3 : 172.16.2.100/16 二 WXPSP3 终 端 主 机 
一 "iw | -U : 
110.16.2.100/24 
-一 < 一 


管理 机 :10.0.0.22 
图 3-62 ”和信 侵 防御 系统 邮件 管控 实验 拓扑 图 


【实验 思路 】 


(OD 配置 桥接 口 。 

(2) 实现 邮件 代理 。 

(3) 创建 病毒 过 小 策略 。 
(4) 创建 垃圾 邮件 过 滤 策 略 。 


【实验 步骤 】 


(1) 在 管理 机 中 打开 浏览 絮 , 在 地 址 栏 中 输入 入 侵 防 御 系 统 产 品 的 IP 地 址 https:// 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ), 进 入 入 侵 防 御 系 统 的 登录 界面 。 输 入 管理 员 用 户 名 
admin 和 密码 11fw(@2soc# 3vpn 登录 人 侵 防 御 系 统 。 

(2) 在 弹出 的 “提示 修改 密码 ”界面 单 击 “ 取 消 ” 按 钮 。 

(3) 登录 入 侵 防 御 系 统 设备 后 ,会 显示 入 侵 防御 系统 的 面板 界面 。 
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(4) 选择 面板 上 方 导航 柱 中 的 “网 络 ”>“ 网 络 接口 ”订单 命令 。 

(5) 在 “网 络 接 口 ”* 界 面 找 到 “人 逻辑 桥接 口 ” 部 分 , 单 击 “ 十 ”按钮 创建 新 的 逻辑 桥 。 

(6) 在 “十 ”界面 ,输入 “桥接 口 ID” 为 10, 选 中 “启用 桥接 口 ",“ 绑 定 接 口 ” 选 择 “Ge0/ 
0/2,Ge0/0/3”。 

(7) 选择 面板 上 方 导航 栏 中 的 “策略 ”一 “ 防 垃圾 邮件 Gs 病毒 ”菜单 命令 。 

(8) 在 “ 防 垃 圾 邮件 C 病毒 ?界面 ,选择 “邮件 代理 ?的 “十 ”, 增 加 邮件 代理 的 ACL., 

(9) 在 创建 邮件 代理 ACL 界面 ,“ACL 名 称 ” 输 入 mp." iE" fij A" mail post". "f 
E AE“ ACL 之 前 ”,“ 源 IP Heb" 8 1*8 36 0357" H f IP 地 址 ”和 “目标 网 络 掩 人 码 ” 都 输 
入 0.0.0.0,“ 取 反 ” 选 项 均 不 需要 勾 选 。 

(10) 创建 ACL 界面 ,“ 动 作 ” 选 择 “ 报 文通 过 ”,“ 包 过 小” 选择 “匹配 生效 ”, 其 他 选项 
保持 默认 ,确认 信息 无 误 后 单 击 “ 确 定 ” 按 钮 。 

(1D Æ ACL 列表 中 找到 刚 创建 的 ACL, 单 击 “ 十 ”按钮 选 定 邮件 代理 的 ACL. 

(12) 选 定 ACL 后 ,会 在 “ACL 列表 ”中 出 现 选 中 的 ACL., 

(13) 在 “邮件 代理 ”界面 ,“SMTP 代理 问 口 ?输入 25," POP3 代理 端口 ?输入 110 ,其 
他 选项 保持 默认 ,确认 信息 无 误 后 单 击 “确定 ”按钮 。 

(14) 在 “ 防 垃 圾 邮件 S 病毒 "界面 选择 “ 防 病毒 ”。 

(15) 在 " 防 病毒 ”界面 ， 扫 摘 文 件 最 大 值 ? 输 入 1024， 过 涯 动作 "选择 “拒绝 投递 ”, 单 

(16) 在 " 防 病毒 "界面 ,展开 "基于 邮件 代理 的 过 波 设 置 ” ,选择 "病毒 过 涯 协议 ”为 
SMTP 和 POP3 , 单 击 “确定 ?按钮 。 

(17) 在 “ 防 病毒 ”界面 ,展开 “基于 协议 识别 的 病毒 过 滤 设 置 ”。 

(18) 单 击 “十 ”按钮 。 

(19) ACL 选择 mp,“ 选 定 的 过 滤 策 略 列 表 ” 选 择 SMTP 和 POP3, 单 击 “ 确 定 ” 按 钮 。 

(20) 在 “ 防 垃 圾 邮件 ”界面 ,选择 “ 防 垃 圾 邮件 ”。 

(2D 在 “关键 字 ” 部 分 , 单 击 “ 十 ”按钮 创建 关键 字 。 

(22) 在 新 建 关键 字 ” 界 面 ,“ 关 键 字 组 ”输入 Stheme 作为 主题 过 滤 关 键 字 , “关键 字 ” 
输入 sb. dr SAL TEIL. ,确认 无 误 后 单 击 “ 确 定 ” 按 钮 。 

(23) 再 次 单 击 “ 防 垃圾 邮件 ”界面 “关键 字 ” 部 分 的 “十 ”创建 关键 字 。 在 新 建 “ 关 键 
字 ” 界 面 ,“ 关 键 字 组 ”输入 Stext 作为 正文 过 滤 关 键 字 ,“ 关 键 字 ”输入 sb. EU SAL dc 
钮 ,确认 无 误 后 单 击 “ 确 定 ” 按 钮 。 

(24) 再 次 单 击 “ 防 垃圾 邮件 ”界面 “关键 字 ” 部 分 的 “十 ”创建 关键 字 。 在 新 建 “ 关 键 
T" E hi "ORBE T HU A Saddresser 作为 发 件 人 过 小 关键 字 ,“ 关 键 字 ”输入 Bike, 单 击 

(25) 在 “ 防 垃 圾 邮件 ”界面 展开 SMTP 部 分 。 

(26) 在 SMTP 部 分 打开 “SMTP 过 滤 ” 开 关 。 

(27) “SMTP 过 滤 ” 展 开 。 

(28) SMTP 部 分 ,主题 关键 字 ?” 选 择 Stheme. "正文 关键 字 ” 选 择 Stext, “发 件 人 关 
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键 字 ?选择 Saddresser,“ 处 理 动作 ”选择 “ 阻 断 ”, 其 他 选项 保持 默认 , 单 击 “确定 ”按钮 。 

(29) 在 “ 防 垃圾 邮件 ”界面 单 击 展开 POP3 部 分 。 

(30) 单 击 打开 “POP3 过 滤 ? 开 关 。 

(31) POP3 ERF F H. 

(32) Æ POP3 部 分 主题 关键 字 ? 选 择 Stheme， 正 文 关 键 字 ? 选 择 Stext，“ 发 件 人 
关键 字 ” 选 择 Saddresser,“ 处 理 动作 ”选择 阻 断 ”, 其 他 选项 保持 默认 , 单 击 “确定 ”按钮 ， 
如 图 3-63 所 示 。 


POP SEER] 


附件 名 关键 宇 | mad HEESE 


IHE [| ZCMUOEVEAJGERER || 主 是 有 莎 性 检查 ”二 | FARNARI 


图 3-63” 防 垃圾 邮件 


【实验 预期 】 


(OD 含 病毒 邮 件 不 能 在 信息 系统 内 传播 。 
(2) 被 关键 字 识 别 的 垃圾 邮件 不 会 被 接收 。 


【实验 结果 】 


1 含 病毒 邮件 不 能 在 信息 系统 内 传播 

(1) 登录 实验 平台 对 应 实验 拓扑 ,左上 角 的 客户 机 终 问 WXPSP3 使 用 邮箱 “Cike@ 
whj.com”, 左 下 角 的 客户 机 终 问 WXPSP3 使 用 邮箱 “Dike@whj.com”, 右 上 角 为 W3SP2 
邮件 服务 需 ,使 用 邮箱 “Aike@whj.com”, 右 下 角 的 客户 机 WXPSP3 终端 使 用 邮箱 “Bike 
(whj.com”, 如 图 3-64 所 示 。 

(2) 登录 实验 平台 拓扑 右上 角 的 邮件 服务 着 W3SP2 ,邮件 服 务 痊 使 用 的 邮箱 是 
“ Aike(2 whj.com" . 如 图 3-65 所 示 。 

(3) 单 击 “开始 ”按钮 ,打开 程序 Outlook Express: "ll lE] 3-66 所 示 。 

(4) 在 Outlook Express 界面 单 击 “ 创 建 邮 件 ” 按 钮 ,如 图 3-67 所 示 。 

(5) 使 用 邮箱 “Aike@ whj. com" [n] HB 78 " Cike(2 whj.com” 发 送 一 封 正 第 邮件 ,“ 收 件 
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AH 


— : 
WXPSP3 : 172.16.1.100/16" -— Sus CS W3SP2 邮 件 服务 器 ， 
| XN ON 110.16.1.100/24 
= 


zx o 
"H | 一 
WPsSP3 : 172.16.2.100/16 > WXPSP3 终 端 主机 : 


110.16.2.100/24 
| i 


C3 
可 110.16.2.1/24 


管理 机 : 10.0.0.22 
图 3-64 实验 平台 拓扑 


L -— 
| 110.16.1.1/24 ENS 


WXPSP3 . 172.16.1.100/1€ - D, M CC | W3SP2 邮 件 服务 器 : 
| R N—À | 110.16.1.100/24 


| 5 | 

一 一 一 - 110.16.2.1/24 Lo] 
an z 一 一 二 一 
WXPSP3 172.16.2.100/16 z Mun 


110.16.2.100/24 


= 


管理 机 : 10.0.0.22 
图 3-65 ”登录 右上 和 角 的 邮件 服务 器 W3SP2 


人 ”输入 “Cike@whj.com”, “主题 ”输入 hello,“ 正 文 " 输 入 “nice to meet you 1”, 如 图 3-68 
Br. 

(6) 登录 实验 拓扑 左上 和 角 的 客户 机 WXPSP3 ,对 应 的 邮箱 为 “Cike@ whj. com" . 如 
3-69 所 示 。 

(7) 单 击 “开始 ”按钮 ,打开 程序 Outlook Express, 

(8) 在 Outlook Express 的 “ 收 件 箱 ” 中 可 以 发 现 一 封 未 读 邮 件 , 发 件 人 为 “Aike@ 
whj.com”, 表 示 邮 件 发 送 成 功 ,如 图 3-70 所 示 。 
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E? 


dE 


D reste co 
dug IA 
工 动 打印 机 和 传记 


Q 开动 和 支 拉 00 


- PRRD 
pe 


d. NMor1lla Firefox 


Vg bug" Ie BE S cus) 


ew [s] xav 
ege | |S[9* d wem 
图 3-66 ”打开 程序 Outlook Express 


大 Iatlook Eapress 
| Mp «p zéo IB she bo 


E stock Buxpress 
py € Hex 


ITI 


Evary hng | rt Ar dg dpi FEALE "IE a 
M Persea 
d (NiERON 

CELETTE | | \ | ax i 


设置 新 加 如 账户 


Firefox | 中 Hn | Tt RSR | 
| UESEWIS  FUJSSHER —— 


图 3-67 创建 邮件 
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EXC m 


= utl 
DR 


图 3-68 使 用 邮箱 "Aike(@ whj.com ”发 送 邮 件 


E— | 110.16.1.1/24 一 一 


WXPSP3 ，172.16.1.100/16 E €» ——a 
110.162.124 Lo] 


—á'— 


WXPSP3 终 端 主机 : 
110.16.2.100/24 


[45 


Led 


WXPSP3: 172.16.2.100/16 


rovor : 


dib 


管理 机 : 10.0.0.22 
图 3-69 “Cike@whj.com” 左 上 角 的 客户 机 WXPSP3 


105 


Egg 入 侵 检 测 与 入 侵 防 第 实验 指导 me— 


Wu dfi 一 Outlook Expreiz-z 
: TPD dd) 查看 WD IAT) dbg ARW 

^ S £ 
TH TuarE "wx 
"^ AA 

中 d *€V EA 
5 m -— Ey crono Outlook ... MIDA Qutlock Express 8 
) 414 L 


t Lek 
hello 


EA: ke WPFA : Cikeieh;. eos 
»»: hello 


*|| nice to meet you | 


E Mg due: 


图 3-70 邮件 发 送 成 功 


2. 被 关键 字 识别 的 垃圾 邮件 不 会 被 接收 
CD 登录 实验 平台 拓扑 右上 角 的 主机 W3SP2 邮件 服务 器 ,对 应 邮箱 “Aike@ whij. 
com”. th Al 3-71 所 示 。 


A. 
-| 
110.16.1.1/24 一 一 


WXPSP3. 172.16.1.100/1t E. 
f 3 NE CJ [7 EX 
| 72.16.1.1/16 | | | 110.16.1.100/24 
C 
[ ] ] 473 
: 110.16.2.1/24 [ ] 
——], m 


= L— 
一 
WXPSP3: 172.16.2.100/16 - WXPSP3 终 端 主机 : 


110.16.2.100/24 
= 


- 


管理 机 : 10.0.0.22 
图 3-71 登录 右上 角 的 主机 W3SP2 


(2) 打开 程序 Outlook Express, 对 应 邮箱 “Aike(Q@whj.com”, 如 图 3-72 所 示 。 
(3) 在 Outlook Express 界面 单 击 “创建 邮件 ”按钮 ,如 图 3-73 所 示 。 
(4)“ 收 件 人 ”输入 “*Cike@whj.com”, “主题” 输入 test. “正文 ”输入 virus, fir Sie 8E 
的 “插入 ”下 面 选项 的 “文件 附件 ”按钮 ,如 图 3-74 所 示 。 
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3-72 “Aike(@whj.com 登入 Outlook Express 
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|t 建新 如 件 
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LDIPTETTIE 
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图 3-73 " Aike(2 whj.com" 创建 邮件 
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3-74  * Aike(2 whj.com"[fff fF 


(5) 选择 C 盘 根 目 录 中 的 "病毒 样本 "中 的 病毒 梓 本 数据 , 单 击 " 附 件 ? 按 钮 ,如 图 3-75 
所 示 ，。 


WN (T): [Frist (k, x) =| 取消 


[ 创建 此 交 件 的 快捷 方式 (8) 


图 3-75 “Aike@whj.com? 和 选择 样本 


(6) 附件 成 功 后 单 击 “ 发 送 ” 按 钮 ,如 图 3-76 Bron. 

(7) 登录 实验 拓扑 左上 角 的 客户 机 WXPSP3 ,对 应 的 邮箱 为 “Cike@ whj.com”, 如 
图 3-77 所 示 。 

(8) 单 击 “开始 ?按钮 ,打开 程序 Outlook Express, WA 3-78 所 示 。 

(9) 打开 邮箱 发 现 提示 有 不 可 接收 的 邮件 ,如 图 3-79 所 示 。 

(10) dub A"Cike(2 whj.com" 的 收 件 箱 ,没有 Aike 发 送 的 邮件 ,市 病毒 的 邮件 被 过 波 
择 了 ,符合 预期 ,如 图 3-80 所 示 。 
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复制 Ten 


3-76 "Aike(9 whj.com"  xX lf t 


= 
s 110.16.1.1/24 
— | 
MOSES ee ee GE2 加 GE3 — W3SP2 邮 件 服务 器 : 
[38 N VE 172.16.11/16 CX 110.16.1.100/24 


| 
110.16.2.1/24 Lo] 
— 


WXPSP3 终 端 主机 : 
110.16.2.100/24 


[4D 


WXPSP3.: ET 16.2.100/16 


[0001 ^ 


管理 机 ， 10.0.0.22 
图 3-77 “Cike@whj.com” 登 人 左上 角 的 客户 机 WXPSP3 


(11) 登录 实验 平台 拓扑 右上 角 的 主机 W3SP2, 对 应 邮箱 “Aike@ whj.com”, 如 
图 3-81 所 示 。 

(12) 打开 程序 Outlook Express, 对 应 邮箱 “Aike@whj.com”, 如 图 3-82 所 示 。 

(13) 在 Outlook Express 界面 单 击 “ 创 建 邮 件 ? 按 钮 ,如 图 3-83 所 示 。 

(14)“ 收 件 人 ”输入 “Cike@ whj.com”“ 主 题 ? 输 入 sb, 这 个 主题 在 主题 关键 字 过 波 
中 正文 ?输入 nothing. £d" A xS "TESI. n] 3-84 所 示 。 

daD 登录 实验 拓扑 左上 角 的 客户 机 WXPSP3 ,对 应 的 邮箱 为 “Cike@ whj. com". 如 
图 3-85 Brzn . 
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图 3-78 “Cike@ whj.com" 1] JF HJF Outlook Express 
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H 收 件 精 一 Outlook Express 


: IO 编辑 E) ZEVO IA(O Bt 


hc. 


转发 


帮助 0 


答复 全 部 答复 


KITA r0 v Xi 
MX Outlook Express : | ^ 
SO 本 地 文件 夹 
| T LAE (1) 

C5 发 件 箱 
o 已 发 送 邮 件 

(9 已 删除 邮件 
DIA 


a 


|l 


MjNBicrosoft Üntlo.. 
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. WMH Outlook Express 6 
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RAD 


E LETS 


WXPSP3: 172.16.1.100/16^ 


LEE 


WXPSP3: 172.16.2.100/16 


图 3-81 


——À GE? 
ER ©, 


RTEA: Microsoft Outlook Express 开发 组 收 件 人 : 新 的 Outlook Express AP | 
主题 : MER Outlook Express 6 


r | 
L utlool 
e] TENET [2r] 


wd 


Hotmail. 

和 家 人 共享 电子 邮件 账 尸 太 
AU HD em Hotmail 

户 1 然后 在 地 球 上 往 何 地 方 


m 正在 联机 工作 。“ 八 错误 
“Cike@ whbj.com ”过滤 邮件 


E 

e EFANS IRISH 
e 多 账户 和 标识 

e HTML 邮件 支持 


a — VN "Tie 3 m. 


图 3-80 


110.16.1.1/24 


W3SP2H[ FH 55 28 : 
110.16.1.100/24 


GE3 
1 72.16.1.1/16 


z 
Wr 110.16.2.1/24 Lo] 
p= —— 
Ls 
- WXPSP32 iri EHL : 
110.16.2.100/24 
-一 二 一 


管理 机 : 10.0.0.22 
“Aike@whj.com” 登 录 右 上 角 的 主机 W3SP2 
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3-83 


i Aike(@ whj.com” 创 建新 邮 件 


mu——— 第 3 章 入 侵 防 衍 系 统 功能 配置 — me 


3-84 "Aike(9 whj.com" Az 3X lp fr 


110.16.1.1/24 


WXPSP3  172.16.1.100/16 o A SE — W3SP2 邮 件 服务 器 
ER VC 172.16.1.1/16 | T 


s 110.16.2.1/24 C] 
— = JE 
WXPSP3 : 172.16.2.100/16 - WXPSP3 imi E Jl : 


110.16.2.100/24 


管理 机 : 10.0.0.22 
3-85 “Cike@whj.com” 登 入 左 上 角 的 客户 机 WXPSP3 
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s 入侵 检测 与 入 侵 防 御 实 验 指 导 | 


(16) 单 击 “开始 ”按钮 ,打开 程序 Outlook Express, 如 图 3-86 所 示 。 


S Jutlool Erpress 
-i ili 

E lularnual Explorer 
a orilla Firefon 


ii (Qr weteechismus 
(gg 打印 机 和 信雄 
O) 办 助 和 支持 c 


POE ETS 


Ammo D cau... 


p FEIM (L) © x an 


图 3-86 "Cike(à whj.com"1TJF ££ FF. Outlook Express 
(17) 打开 邮箱 发 现 有 邮件 不 能 正常 接收 ,并 且 邮 箱 内 无 未 接收 邮件 ,垃圾 邮件 被 过 
滤 择 了 ,符合 预期 ,如 图 3-87 所 示 。 


E Outlook Express 


处 理 请 求 的 任务 时 出 异 。 请 鱼 查 下 列 屠 误 列 表 以 获取 详细 依 ERU] 


lE] 您 的 服务 器 意外 终止 了 连接 。 ERE EAM ASH Paletti 
eTR KA: 1110. 18.1, 1007, RS: 110.16. 1. 1007, rx 
POP3, MEL]: 110, #2 esL): F, HAAS: 0x800CCCOF 


已 完成 0 项 任务 Œ 1 项 ) 
图 3-87 “Cike(@whj.com” 发 现 邮 件 


(18) 进入 “Cike@ whj.com” 的 收 件 箱 , 没 有 Aike 发 送 的 邮件 ,市 病毒 的 邮件 被 过 渡 
摊 了 ,符合 预期 ,如 图 3-88 所 示 。 

(19) 登录 实验 拓扑 右 下 角 的 客户 机 WXPSP3 终端 主机 ,对 应 的 邮箱 为 “Bike@ whj. 
com”, 如 图 3-89 所 示 。 

(20) 单 击 “开始 ?按钮 ,打开 程序 Outlook Express, 


(21) 在 Outlook Express 界面 单 击 “创建 邮件 ?按钮 ,如 图 3-90 所 示 。 
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H dfi 一 Outlook Express 
: Xftq dmg 查看 IAY MaD $E 00 


$9 S 
EE — 全 部 答复 


vv 一 ii og), vi 发 件 人 
TR bai &ZNicrosoft Outlo... 欢迎 使 用 Outlook Express 6 
a- 
C kalikali Da 
C 发 件 箱 
-G 已 发 送 邮 件 
G 已 删除 邮件 


< Tn | LÀ 
发 件 人 : Microsoft Outlook Express 开发 组 收 特 人 : 新 的 Outlook Express AP - 
主题 : 欢迎 使 用 Outlook Express 6 


uA IE d Paul E 


wv 


电子 邮件 和 新 闻 组 ee 

e 多 账户 和 标识 

e KL Whiti 77 ARD Hotmail f 
^B E 去， 用 本 emm 3 8 e -一 一 P [然后 在 地 球 上 任何 地 方 
TU UEM BU 正在 联机 工作 | 从 错误 

图 3-88 “Cike@ whj.com" & fF 48 
一 一 一 人 
[ ] = 
110.16.1.1/24 


WXPSP3; 172.16.1.100/1\____ Gp 9, M €» 3SPa 邮 人 服务 器 
LR ~ 172.16.1.1/16 n | 
m | 
[ : 
: noi62124 | 


- z — 
| 6 一 
WXPSP3: 172.16.2.100/16 = WXPSP3 终 端 主 机 : 
110.16.2.100/24 
ee 


管理 机 : 10.0.0.22 
图 3-89 “Bike@whj.com” 登 录 右 下 角 的 客户 机 WXPSP3 


(22) 该 客 尸 机 使 用 的 邮箱 Bike@whj.com” 是 被 收 件 人 关键 字 过 渡 的 对 象 。“ 收 件 
人 ”输入 “Cike@@whj.com”,“ 主 题 " 输 入 test, 这 个 主题 在 主题 关键 字 过 滤 中 ,“ 正 文 ”" 输 入 
"can you get it ?”, 单 击 “ 发 送 ” 按 钮 ,如 图 3-91 所 示 。 
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k" Outlook Express 
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| 单 击 来 创建 一 个 新 的 联系 人 人。 |« j 


局 正在 联机 工作 。 的] 设 有 新 邮件 


图 3-90 “Bike@ whj.com” 创 建 邮件 
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图 3-91 "Bike(& whj.com” A 3X lll fF 
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3. 被 天 键 子 识别 的 垃圾 邮件 不 会 被 接收 
CD 登录 实验 拓扑 左上 角 的 客户 机 WXPSP3, 对 应 的 邮箱 为 “Cike@ whj. com" . 如 
3-92 所 示 。 


L] N 110.16.1.1/24 


一 


WXPSP3. 17216.1.100/16 ^, —— Gp» O GES 一 W3SP2 邮 件 服务 器 : 
| 110.16.1.100/24 
we 172.16.1.1/16 人 S 


NE 110.16.2.1/24 Lo] 
— = = 
WXPSP3. 172.16.2.100/16 S eA 
110.16.2.100/24 


pem 


管理 机 : 10.0.0.22 
图 3-92 “Cike@whj.com” 登 录 左 上 角 的 客户 机 WXPSP3 


(2) 单 击 “开始 ?按钮 ,打开 程序 Outlook Express, 如 图 3-93 所 示 。 


Administrator 


2) sant 
一 | etti fire an 
"s ^0) BUD 
Ju Internat Hsplorar t Sans sk 
- PII 
3 Mozilla Pirefor 


Gh eume c 
(Dr 设 定 得 序 访问 和 默 久 位 
(ga 打印 机 和 传真 


Q) RS ub 
9 8*9 0 


£7 iz1I Qo... 


[2 FIH Eu [o] 关机 un 


3-93 “Cike@ whj.com"1] JF ££ FF. Outlook Express 


(3) FTA HERE Az SUE BIET E ASTE 1E H 1605 EXHI BOSE US T. Y «TE BU «AE 3-94 Brzn 
(4) £g E BER «n JA3 EE AY RI CHI XE. 2 38r 37] BI PEAR 9 A Bc D; 48] 2 DEI UE d Y «Tb 
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ANC: I E Le E gp K XN da E 


E" Outlook Express 


《< 评 细 信 息 QU) 


9 们 的 服务 姨 意 外 终止 了 广 接 。 其 可 能 原因 包括 服务 姨 出 宦 。， 网 结 出 条 或 发 时 | 间 
处 于 非 活 动 状 态 。 kA: 110. 18.1.100 '110.186. 1. 100" ,. H9: 


服 等 器 : 
P0F3， 端 口 : 110， 安 全 (ESL): T5, HIR: OxSODCCCOF 


已 完成 0 MES G 1 M) 


图 3-94 “Cike(@ whj.,.com” 过 滤 垃 圾 邮件 


【实验 思考 】 
(1) 已 压缩 的 病毒 是 否 可 以 被 发 送 进来 ? 
(2) 病毒 过 滤 的 病毒 库 是 实时 更 新 升级 的 吗 ? 


3 7 入 侵 防 御 系 统 DDoS 防护 实验 


【实验 目的 】 


管理 员 通 过 配置 入 侵 防 御 系 统 的 DDoS( 分 布 式 拒绝 服务 攻击 ) ,实现 对 流 经 入 侵 防 


【知识 点 】 

DoSGE# Bit 45) ,. DDoS, ACL, ARRIER Z2 . S WEG] SR .全 局 对 象 。 

[2 z 18 3 ] 

A 公司 的 张 经 理 通过 安全 咨询 了 解 到 DDoS 攻击 的 发 展 趋 势 越 来 越 严 峻 ,公司 的 服 
务 器 一 旦 遭受 DDoS 攻击 ,将 产生 严重 的 负面 影响 ,为 了 维护 公司 的 利益 , 张 经 理 要 求 安 
全 运 维 工程 师 小 王 开启 DDoS 攻击 防护 功能 。 请 思考 应 如 何 配 置 人 侵 防 御 系 统 的 DDoS 
功能 。 

【实验 原理 】 

DoS 是 一 种 第 见 的 网 络 攻击 方式 ,其 目的 是 使 计算 机 或 网 络 无 法 提供 正常 的 服务 。 
最 常见 的 DoS 攻击 有 计算 机 网 络 市 宽 攻 击 和 连通 性 攻击 。 


DDoS 通过 网 络 过 载 干扰 或 阻 断 正常 的 网 络 通 信和 ,通过 向 网 络 服务 器 提交 大 量 请 求 ， 
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F RUR I ao 01 fuf o 
【实验 设备 】 


安全 设备 : SecIPS 3600 入 侵 防 御 系 统 设备 tU. 

网 络 设备 : 路 由 器 1 台 , 交 换 机 1 台 。 

主机 和 终端: Windows 2003 SP2 主机 1 台 ,Windows XP SP3 主机 2 台 ,Windows 7 
主机 1 台 。 


【实验 拓扑 】 
Af Bj 18 2& 26 DDoS 防护 实验 拓扑 图 如 图 3-95 所 示 。 
110.10.1.1/24 RÀ 
| | =- 
pum —— —— L] 
E 172.16.18.1/24 ACMSCWeUIR A83 
110.10.1.100/24 172.16.8.100/24 
= 
— 一 
WXPSP3 : 172.16.8.50/24 ”管理 机 : 10.0.0.22 
图 3-95 人 侵 防御 系统 DDoS 防护 实验 拓扑 图 
【实验 思路 】 


d) 配置 桥接 口 。 

(2) 配置 网 络 接口 。 

(3) 配置 地 址 对 象 。 

(4) 配置 ACL HA. 

(5) 配置 安全 策略 。 

(6) 内 网 用 户 发 起 ARP 攻击 ,导致 外 网 用 户 无 法 访问 服务 天 。 

(7) 配置 DDoS 防护 策略 ,对 内 网 用 户 发 起 的 ARP 攻击 实现 安全 防护 。 
(8) 外 网 发 起 DoS 攻击 ,内 网 的 服务 锅 可 抓 取 到 攻击 数据 包 。 

(9) 配置 DDoS 防护 策略 ,对 外 网 发 起 的 DDoS 攻击 实现 安全 防护 。 


【实验 步 又】 


CD 在 管理 机 中 打开 训 览 需 , 在 地 址 栏 中 输入 人 侵 防 御 系 统 产 品 的 IP 地 址 https:// 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ) ,进入 人 侵 防 御 系 统 的 登录 界面 。 输 入 管理 员 用 户 和 名 
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admin AI f ! 15w(22soc # 3vpn 登录 人 入侵 防御 系统 。 

(2) 单 击 “ 登 录 ” 按 钮 后 ,会 弹出 修改 出 厂 原始 密码 的 提示 框 , 单 击 “ 取 消 ” 按 钮 。 

(3) 登录 和信 侵 防御 系统 设备 后 ,会 显示 入 侵 防 御 系 统 的 面板 界面 。 

(4) 选择 面板 上 方 导航 栏 中 的 “网 络 ”>“ 网 络 接口 ”六 单 命令 。 

(5) 在 “网 络 接口 ?界面 , 单 击 “逻辑 桥接 口 ?的 “十 ”, 增 加 桥接 口 。 

(6) 在 “编辑 逻辑 桥接 口 ? 界 面 ,输入 “桥接 口 ID” 为 1, 选 中 “启用 桥接 口 ",“ 绑 定 接 
口 ” 选 择 “Ge0/0/2,Ge0/0/3”。 

(7) 单 击 “ 确 定 ” 按 钮 ,返回 到 “网 络 接口 ”界面 ,可 见 成 功 增加 的 桥接 口 。 

(8) 在 “网 络 接口 "界面 ,双击 “以 太 网 接口 ”的 Ge0/0/2。 

(9) 在 “编辑 以 太 网 接口 ”界面 ,“ 流 统计 标识 ”选择 outside, 其 他 保持 默认 配置 。 

do) 单 击 "确定 ?按钮 ,返回 到 “网 络 接口 ?界面 ,再 双击 “以 太 网 接口 ?的 Ge0/0/3, 在 
弹出 的 “编辑 以 太 网 接口 ”界面 中 ,“ 流 统计 标识 ”选择 inside, 其 他 保持 默认 配置 。 

(11) 单 击 “确定 ?按钮 ,返回 到 “网 络 接口 ?界面 ,可 见 配置 成 功 的 以 太 网 接口 。 

(12) 选择 面板 上 方 导 航 栏 中 的 “资源 ”一 “资源 对 象 ” 亲 单 命令 ,显示 当前 的 资源 
列表 。 

(13) 在 “资源 对 象 * 界 面 , 单 击 “地 址 对 象 ”* 的 “十 ”增加 地 址 对 象 。 

(14) 在 “地 址 对 象 维护 ”界面 ,在 "名称 ”一 栏 中 输入 any', 在 "地址 ?一 栏 中 选择 “网 
Er”. FARY IP 地 址 输入 0.0.0.0, 掩 人 码 输 入 0.0.0.0, 其 他 保持 默认 配置 。 

(15) 单 击 “ 确 定 ” 按 钮 ,返回 到 “资源 对 象 * 界 面 ,可 见 添加 的 any 地 址 对 象 。 

(16) 单 击 “ 资 源 对 象 ” 面 板 中 的 ACL 标签 页 ,在 ACL 界面 中 单 击 “十 ”, 增 加 ACL 
对 象 。 

(17) Æ ACL 界面 ,“ACL 名 称 ” 输 入 acll ,在 “IP 地 址 ”一 栏 中 ,“ 源 地 址 ”选择 “地 址 
对 象 ”, 其 下 方 的 “地 址 对 象 ” 选 择 any, “目的 地 址 ”选择 “地 址 对 和 象 ”, 其 下 方 的 "地址 对 象 ” 
选择 any ,其 他 保持 默认 配置 。 

(18) 单 击 “ 确 定 ” 按 钮 ,返回 到 ACL 界面 ,可 见 成 功 添加 的 ACL 对 象 。 

(19) 选择 上 方 导 航 栏 中 的 “ 生 略 ?一 "安全 策略 ? 沫 单 命 令 , 显 示 当 前 的 安全 胰 略 
列表 。 

(200 在 “安全 策略 "界面, 单 击 “ 安 全 束 略 ”的 十”, 增加 安全 策略 ,如 图 3-96 所 示 。 

(21) TER LA BS S RE" B H , RENE ER WA ddos, 在 “策略 条 件 ” 一 柱 的 “ 源 ” 
标签 页 中 ,“ 源 IP 对 象 ” 选 择 any, 其 他 保持 默认 配置 。 

(22) 单 击 “策略 条 件 ” 一 栏 的 “目的 ”标签 页 , “日 的 IP 对象” 选择 any, 其 他 保持 默认 
配置 。 

(23) 单 击 “策略 条 件 ” 一 栏 的 “安全 业务 ”标签 页 “入 侵 防 护 ” 选 择 ips. 

(24) 单 击 “策略 条 件 ” 一 位 的 “动作 ”标签 页 “操作 ”选中 “接受 ”。 

(25) 单 击 “确定 ”按钮 ,返回 到 “安全 素 略 ”界面 ,可 见 成 功 添加 的 安全 策略 。 

(26) 局 用 防护 梨 略 之 前 ,需要 开局 人 侵 防 御 系 统 的 数据 日 志 , 以便 进 行 数 据 统 计 。 
选择 面板 上 方 导航 栏 中 的 “管理 ”>“ 全 局 配置 ”菜单 命令 。 

(27) 在 “全 局 配置 "界面 ,确保 “日 志 记 录 开 关 ” 的 所 有 选项 都 处 于 ON 状态 ,其 他 保 


120 


第 3 章 ， 入侵 防御 系统 功能 配置 


EEG: 


安全 秆 酷 
= mAs mtrt 


sss |= [ser [we [amm | mm | a |m- | uma | ae |us- seus 


we» fin [ov] 


图 3-96 增加 安全 策略 


持 默 认 配 置 。 
(28) 单 击 “ 确 定 ” 按 钮 ,保存 配置 。 再 单 击 “ 全 局 配置 ”一 栏 中 的 “全 局 开关 ”标签 页 。 
(29) 在 “全 局 开关 ”界面 ,保证 “流量 统计 ”默认 包 策略 “全 局 开关 ”日 志 聚 合 功 能 ” 
“本 地 端口 扫描 检测 ?的 所 有 选项 ,以 及 “安全 策略 ”中 的 “日 志 聚 合 开 局? 应 用 识别 ?中 的 
“应 用 识别 ”都 处 于 ON 状态 ,其 他 保持 默认 配置 。 
(30) 单 击 “确定 ?按钮 ,保存 全 局 配置 设置 。 选 择 上 方 导 航 栏 中 的 “策略 ”~ DDoS Bj 
护 ” 菜 单 命令 ,显示 当前 的 DDoS 设置 信息 。 当 前 的 DDoS 的 ARP 防护 模块 所 有 选项 卡 


【实验 预期 】 


(1) 外 网 用 户 访问 内 网 服务 硕 网 页 均 可 正 稼 访问 。 

(2) 内 网 用 户 发 起 ARP 其 骗 攻击 ,外 网 用 户 无 法 访问 服务 器 网 页 。 

(3) 配置 DDoS 防护 中 的 ARP Bii jo ss Ret ,使 得 外 网 用 户 正 第 访问 内 网 服务 硕 网 页 。 
(4) 外 网 发 起 DoS 攻击 ,内 网 服务 硕 可 抓 取 攻击 包 。 

(5) 配置 DDoS 防护 中 的 基于 ACL 防护 策略 ,对 攻击 数据 包 进 行 阻 断 。 


【实验 结 采 】 


1. AM bj FB A s i8] P Dod Bl S5 S Pj 73 25 RT 1E 38 7 [8] 

d) 登录 实验 平台 对 应 实验 拓扑 左 侧 标 红 框 的 WXPSP3 虚拟 机 ,如 图 3-97 所 示 。 

(2) 双击 虚拟 机 曙 面 中 的 火狐 浏览 硕 快 捷 方 式 ,运行 火狐 浏览 希 。 

(3) 在 火狐 浏览 疮 的 地 址 栏 中 输入 内 网 服务 融 的 IP 地 址 172.16.8.100, 可 正常 浏览 
网 页 信息 ,表明 服务 器 及 网 络 工作 正常 ,如 图 3-98 所 示 。 


2. NJ y FH PEE ARP Bis Ci Ph 9d FH A 76 iX V3 o Bi 35 x8 D] 72 
(OD 登录 实验 拓扑 下 方 的 红色 方 框 内 网 主机 WXPSP3 ,如 图 3-99 所 示 。 
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110.10.1.1/24 


PO 1 35 
(LÀ 
zx 172.16.18.1/24 
WXPSP3 . mM 74CMS(Web 服 务 器 ) : 
| 172.16.8.100/24 
110.10.1.100/24 


L 
te 


WXPSP3,; 172.16.8.50/24 ”管理 机 : 10.0.0.22 
图 3-97 登录 左 侧 的 WXPSP3 虚拟 机 


招聘 信息 AER FPES MIAS ”新闻 资讯 。 会 员 中 心 
zum: IAS 


搜索 职位 ibis. 0 db nde. 0 有效 简历 :0 £n 0 EE 发 布 招聘 区 填写 简历 


mig ”写字 机 搜索 职位 公告 | 新手 上 路 —BBHER 


这 路 搜索 职位 —— PRERGEIÉTRSRN 


“最 新 下 载 简历 六 下 载 了 我 的 简历 ? 马上 至 到 权 看 | 本 局 热 点 职位 


110.10.1.1/24 


A. 
O ë =. 
LS | ls ^ | 
A 172.16.18.1/24 IPS | 
X 74CMS(WebHl 45 2) : 
Misi. 172.16.8.100/24 
110.10.1.100/24 .16.8. 


L 
Am L0 0 0I : T49 


WXPSP3 ， 172.16.8.50/24 EPL: 10.0.0.22 
图 3-99 ”登录 下 方 的 WXPSP3 
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(2) 在 虚拟 机 时 面 中 ,双击 HyenaeFE 软件 快捷 方式 ,运行 攻击 工具 ,如 图 3-100 
所 示 。 


T J 
JR FH Reg 


| HyenaeFE 


TFET 


图 3-100 ”运行 攻击 工具 


(3) 在 ARP IX i; A fi rp. w ons Xd; HJ TH OR e Db. Di E SA IA D BB n]. Operation 
Mode 里 的 Attack from local machine 表明 使 用 本 机 发 起 攻击 ,和 下方 为 本 机 网 卡 。 在 
Network Protocol 一 栏 中 ,IP 版 本 为 IPv4, 数 据 包 类 型 为 ARP-Request, 如 图 3-101 
所 示 。 

[| HyYenaeFE 


Üperation Mode ARF-Request Fackets 


Source Pattern 


Network Interface Intel R) PRO/1000 MT Hetworl w Destination Pattern 


Sender Patt 
Network Protocol ender lattern 


] Target Pattern 
IPF-Version 


Packet Type 


Send Parameters 


Ho send duration v 


Command Line Usage 


hyenae -I 1 -À 4 -a arp-request -s $ -d $ -3 &-& -D &-& 


图 3-101 攻击 软件 界面 
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(4) 单 击 下 方 的 Execute 按钮 ,程序 将 发 起 ARP 攻击 ,如 图 3-102 所 示 。 


m HyenaeFE 


Üperation Mode ARP-Request Packets 


Source Pattern 


Network Interface Intel(R) PRO/1000 MT Networ] Ww Destination Pattern 


Sender Pattern 


Hetwork Frotocol 


— Target Pattern 
IP-Version IPv4 v 


Feet Typ 


send Parameters 


No send delay RJ = 
[Wo send duration | = 


Command Line Usage 


hyenae -I 1 -À 4 -a arp-request -3 


图 3-102 %7} Execute 按钮 


(5) 单 击 Execute 按钮 后 ,下 方 的 状态 栏 中 会 显示 攻击 的 信息 ,如 图 3-103 所 示 。 


四 HyenaeFE 


(peration Mode ARP-Request Packets 
Source Pattern 
Hetwork Interface Intel(R) PRO/1000 MT Hetworl Destination Pattern 


sender Pattern 
Network Protocol 


SA Target Pattern 
IP-Version 


Packet Type ARP-Request 


Ho send duration 


Command Line Usage 


* Initializing 
* Ūpening network interface (DeviceXNPF [4CE71095-132ZA-4675-9]1BÀ-6DAGDIDÜFA43)) 
* Launching attack 

Eunninq... 


图 3-103 ”攻击 状态 显示 
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3. 配置 DDoS 防护 中 的 ARP E53P 9& RE ,使 得 外 网 用 户 正 党 访问 内 网 
服务 器 网 页 
d) 在 管理 机 中 打开 浏览 絮 , 在 地 址 栏 中 输入 入 侵 防 御 系 统 产 品 的 IP 地 址 https:// 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ), 进 入 入 侵 防 御 系 统 的 登录 界面 。 输 入 管理 员 用 户 名 
admin MA ! 1fw(22soc 4 3vpn 登录 入 侵 防 御 系 统 。 选 择 面 板 上 方 导航 栏 中 的 “可 视 ” 
日 志 显 示 ” 一 “DDoS 防护 日 E RKS 令 , 可 见 , 在 人 侵 防 御 设 备 上 未 开启 ARP Flood 
one 无 ARP Flood 防护 日 志 , 如 图 3-104 所 示 。 


NGIPS 
人 仿 防 御 系 统 


FEDS pans eros | meint | 入 全 防护 日 让 emos | agos | meas 
[maas | mns | (Amros pas | E 


时 间 fel H sinees | 所 有 - HS " 


图 3-104 ”发现 ARP Flood 攻击 


(2) yt TE Bi b EA SE NLES TP BU" RE" "DDoS 防护 ”六 单 命令 ,如 图 3-105 所 示 。 


| NGIPS 
ERCIUTIESES 2 


3-105 打开 DDoS 防护 界面 


(3) 在 “DDoS 防护 ”界面 ,在 “全 局 防护 ”标签 页 中 选中 “ARP 防护 ”的 所 有 方 框 ,并 在 
“防护 ARP 洪水 ” 旁 的 方 框 内 输入 启动 防护 的 国人 为 5, 表示 超过 5 个 ARP 洪水 包 即 局 
动 ARP 防护 ,如 图 3-106 所 示 。 

(4) 再 单 击 右 上 角 的 磁盘 按钮 ,保存 配置 参数 ,如 图 3-107 所 示 。 

(5) 单 击 磁盘 按钮 后 ,会 弹出 "配置 保存 成 功 ? 的 界面 ,如 图 3-108 所 示 。 

(6) 选择 面板 上 方 导 航 栏 中 的 “可 视 ”* 日 志 显 示 ? 菜 单 命令 ,如 图 3-109 Bron, 

CD 在 “日 志 显 示 ” 界 面 ,可 见 入 侵 防 御 系 统 记 录 的 ARP Flood 攻击 ,表明 入 侵 防 御 
系统 已 识别 ARP Flood 攻击 并 阻 断 数据 包 , 对 后 端 连 接 的 内 网 服务 器 实现 安全 防护 ,如 
图 3-110 所 示 。 
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W Est Mp 


m ARR 


NGIPS 
AENEIS tE 


图 3-108 配置 保存 成 功 


EZ ore 


[f rik THE : matena |5 


二 | Bii? Teardrop 


图 3-109 进 人 日 志 显 示 
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Et E 
E- p ABER .JUCTMÉ , IBEUBESIIARIE 
Ck. PeEmAKPHER PAARA Dee 
REDE Dpuescw E D OTENEEDEAS Dei 
Teardron. DHAMEN, 

ARP 

村 对 af MGE RE E TELLUS RE —7- 
NER. SEESAMA ERER E 
dine x TTE , ARE 
HEADE , HEMD TERER H hH 
sh. EHEAR 
x. Hxc GU REP. RU 
TERA. FARAR PAE. E 
BAHRAM EE 
ARPIEECEE . MAAAR 
ARBOR. 

iride 
TPESGEEÜBGUC HO ws CE 由 cod 演出 . i8 
TIBI bzu inene ine ERUNT ES EC 


E] 


EnzmEWESOICGEECHPH 
LIRIBIEETER SEL PURUS CE Fo 


rib 


m—— $ 3x 入 侵 防 御 系 统 功 能 配置 


日 去 显示 =] 让 = | menm 应 用 去 全 日 击 | ARAN 
se He men fe ere e ll 
时 间 | Aiit 


IL di sri 


srcigi- 168.1 162.6 detgi- 168.150.7.5 sport=0 dpart-D prota- OTHER tyge- "AR? food" hiteount-50 msg-* 
2018-01-25 1632:12 ; 


eeds the threshold" 
aap 168.136.4.5 dstig- 178.143.8.2 gpart-0 dport-Ü prota-OTHER tyge-* ARP flood" hibcount-50 meg=" 
2018-01-26 1632312 
eeds the threshold" 
sreipiz 147.103 2.4 dstip=155.143.5.2 sport=0 dpartzD pretnz OTHER typez" ARP. food" hitenuntz50 msgz" 
2018-01-26 16:3212 7 z 
garde tha thrashold* 


sap- 156, EAG rhet T0. 14875. spiort- 0 dpart-D prete-OTHER tyge -" ARP flood" hibecunt- 50 msg-" 
2018-01-25 16:32:12 ; 


图 3-110 ”攻击 记录 


(8) 进入 实验 拓扑 下 方 的 红色 方 框 内 网 主机 WXPSP3 ,如 图 3-111 所 示 。 
110.10.1.1/24 


— 172.16.18.1/24 
WXPSP3. 


110.10.1.100/24 


74CMS( WebHg 45 23) . 
172.16.8.100/24 


WXPSP3 172.16.8.50/4 ”管理 机 : 10.0.0.22 
图 3-111 重新 登录 下 方 的 WXPSP3 


(9) 在 HyenaeFE 软件 界面 , 单 击 下 方 的 Stop TEIL. Pe 1E. ARP 攻击 ,如 图 3-112 Brzn 


四 HyenaeFE 


Üperation Mode ARF-Request Packets 


Source Pattern 


Network Interface Intel(R) PRO/1000 MT Networl Destination Pattern 


Hetwork Protocol Sender Pattern 


Target Pattern 
IPv4 


ARP-Request 


Ho packet limit 


Ho send delay 


Command Line Usage 


图 3-112. 停止 ARP 攻击 127 
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(10) 返回 实验 拓扑 中 左 侧 模拟 外 网 的 虚拟 机 WXPSP3, 如 图 3-113 所 示 。 


110.10.1.1/24 


TROR OAE 
| | | 
—— OS— | 
i 172.16.18.1/24 74CMSWeblfi 45 28) . 
110.10.1.100/24 Q 172.16.8.100/24 
= 
> 
一 


- 


WXPSP3 172.16.8.50/24 ”管理 机 : 10.0.0.22 
图 3-113 访问 左 侧 的 WXPSP3 虚拟 机 


(11) 在 虚拟 外 网 的 虚拟 机 中 ,双击 桌面 上 的 LOIC. exe 快捷 方式 ,准备 发 起 DoS 攻 
击 ,如 图 3-114 所 示 。 


图 3-114 运行 LOIC 软件 


(12) 在 LOIC 软件 界面 ,“1.Select your target" — fF RJ IP $ A A HRS gs Hj IP 地 址 
172.16.8.100 ,随后 单 击 “Lock on” 按 钮 ,如 图 3-115 所 示 。 

(13) 单 击 “Lock on 按钮 后 ,软件 界面 的 “Selected target” 中 会 显示 被 攻击 的 IP 地 
址 ,如 图 3-116 所 示 。 

(14) 在 “3.Attack options” 一 栏 中 ,Method 下 拉 列 表 中 选择 UDP, 其 他 参数 保留 默 
认 值 即 可 ,如 图 3-117 所 示 。 

(15) 单 击 右 上 方 “2. Ready?” 中 的 “IMMA CHARGIN MAH LAZER” 按 钮 开始 
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EE Low Orbit Ion Cannon | When harpoons, air strikes and nukes fails | v. 1.0.8.0 an 


m1., Select your target 


IP 17216.8100 


县 -LI -aa 


HTIP Subsite 
rj 


Wat for reply 
imi eh "| 


Requeasting Downloading Downloaded 


图 3-115 输入 攻击 地 址 


EE Low Orbit Ion Cannon | When harpoons, air strikes and nukes fails | v. 1.0.8.0 ARa 


1. Select your target 
LRI 
F 1721468100 


HTTP Subsite TCP / UDF message 


rj A cat is fine too. Desudesudesur 


Requestina ^ovwrnloadec Reauaested 


图 3-116 ”锁定 攻击 目标 


UDP Flood 攻击 ,如 图 3-118 所 示 。 


3. 外 网 发 起 DDoS ME , A A B 25 zx RI 3ICRCIXC d; E 

d) 登录 实验 拓扑 右 侧 的 服务 需 虚 拟 机 74CMS ,如 图 3-119 所 示 。 

(2) 在 虚拟 机 中 ,双击 果 面 上 的 Wireshark 快捷 方式 ,运行 Wireshark 软件 ,如 图 3-120 
所 示 。 

(3) Æ Wireshark 软件 界面 , 单 击 左 侧 中 部 的 “Intel(R) PRO/1000 MT Network" W 
卡 ,再 单 击 上 方 的 Start 按钮 ,开始 抓 包 ,如 图 3-121 所 示 。 

(4) 开始 抓 取 数据 包 后 ,可 见 抓 取 到 的 攻击 数据 包 , 如 图 3-122 所 示 。 
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A Je Aer | Ey e Eo p E RE dB AE 


n-i rbit Ion Cannon | When harpoons., air strikes and nukes fails | v. 1.0.8.0 


1. Select your target 
URL 
MMA CHARGIN MAH LAZER 
IP 172.16.85.100 


selected target 


172.16.8.100 


Timeaut HTTP Subsite TOF i UDP message 


3001 | A cat is fine tao. Desudezucdsesu- 


Wat for reply 


Atta rk =tatus DO c —— V X————————————————— Á——————— —————!—M——M —Ó—— 
Idle Connecting Reguesiing Downloading Downloaded Fiegquested | 


图 3-117 选择 泛 洪 攻 击 方 式 


u- Lor Orbit Ion Cannon | When harpoons, air strikes and nukes fails | v. 1.0.8.0 


1. Select your target 
URL 


MMA CHARGIN MAH LAZER 


IP 172.15.65.100 


lt Gh Ln S ea a CCCII E RE WCG 
Timeout HTTP Subsite [CP £LIDP message 


gpp i A catis fine too. Dezudesucdesu- 


1 ü Vit for reply  —— n—— — — — 


Method Threads «= faster Speed slower => 


Attack status 


ide Connecting Requesting Downloading Requested Failed 


图 3-118 开始 UDP Flood 攻击 


110.10.1.1/24 

GE3 | 
| | 
ESL 


74CMS(Web]lfi 25 28) . 
172.16.8.100/24 


WXPSP3: 
110.10.1.100/24 


172.16.18.1/24 


C] 
—— 


WXPSP3 . 172.16.8.50/24 ”管理 机 : 10.0.0.22 
图 3-119 ”登录 右 侧 的 服务 器 虚拟 机 74CMS 
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Search 
Everything 


Mozilla 
Firefox 


E 
Hot ep adtt 


^ 
Wireshark 


图 3-120 | 35 1T Wireshark 软件 


站 The Wireshark Hetrork Analyrer [Wireshark 1.8.3 (SVH Rev 45256 from /irmk 1.8)] 
Ele Edit Wew Go Capture Analyze Statistics Telephony Tocs  Intemak Hep 


Filter: | "| Expression... [Tent April. Save 


The World's Most Popular Network Protocol Analyzer 


version 1.8.3 (SYN R.ev 45256 from /trunk-1.85 


ET i x pCBS Ole 


Ls Interface List z Open y Website 


Live list of the capture interfaces Open a previausly captured fle visit the project's website 
[counts incoming packets) 


Open Recent: User's Guide 
Eni Start The Users Guide (local wersion, iF instaled)] 
bogsa agi or mare interface: to capture Fom, then Start ud Sample Captures 
eJ Intel (RY PED/1000 MT Hetwork Connection: Devi cetHPF A rich assortment of examole capture files on the wiki um Security 
Work wilh Wrirezhark as securely 2 possible 


nl Capture Options 


— Start a capture with detailed options 


图 3-121 选择 抓 取 数据 包 的 网 卡 


l Capturing from Intel(E) PEO/1000 NT Hetrork Connection: MieviceXWHPF [E4232 10A-83E3-43C3—-BFB9—8EGL E4D8TA23D] [Tireshark 1. 


Hle Edit View So Capture Analyze Statisties Telephony Toos Irntemalk Hep 


a m BM guo 


Filter: | *| Expression... Clear Apply Save 


Ho. = lime c — pemr ee $ . ER Postimet un = Fr minen Le zth Lacs mec Es > -二 
975206 34.4041060 L172.16,8,1uu 110.69. 70.100 ICMP ba pestination t unreachable) 
er5207 54.4041220 110.69.70.100 172.16.9.100 UDP 74 source port: aplx Destination port: http 
975208 54.4041280 172.16,8,100 110.69. 70.100 ICMP 102 Destination unreachable (Port unreachable) 
er52080 34.4041380 110.69. 70.100 172.15.48.100 UCF 74 source port: aplx Destination port: http 
Gio210 54.4041470 172.16.88.100 110.695.70.100 ICMP 102 bestination unreachable Port unreachab le) 
S75211 54.4041510 110.69.70.100 172.15. 8.100 UCF 74 source port: aplx Destination port: http 
G?52]12 54.4041550172.156.,8,100 110.55.70.100 LCMP lü2 Destination able (Part unreachable) 
S75213 54.4043210 110.859. 70.100 172.165.9.100 UCF 74 source port: aplx Destination port: http 
Sioa 54.4045250 L/2.15, 5, 100 110.64., 70., LUQ ICMP be Destination hable) 
975215 34.4043470 110.069, 70.100 172.16.8.100 UDP /4 Source part: 

S75216 54,4043470 L172.165,8,100 110.69. 70.100 ICMP lu2 Destination l 
Sr5217 54.4043500 110.69, 70.100 Ipe odao Eln IUTE UDP 74 Source part: aplx Destination port: http 
975218 34.4ü04361ü0172.15.8,1n00 110.59.70.100 uw Loz pesrtinar!|on unreachable (Part unreachabie? 
9753219 54.4043700 110.59, 70.100 Tee la. dil UDF 74 source port: aplx npesrinarion port: KETE 
eoy5220 34.,40453740172.10.,8,100 110.89. 70.100 ICMF Lz pestination unreachable (Part unreachab!e? 


er5221 54.4043830 110.09, Source port; apla Destination port; http 


图 3-122 抓 取 到 的 攻击 数据 包 
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(5) 单 击 其 中 的 Protocol 标注 为 UDP 的 数据 包 , 在 最 下 方 可 见 其 中 的 数据 报 文 内 


X ,如 图 3-123 所 示 。 


File Edit iew Go Capture 


Analyze — Statistics 


Telephory Tools 


Internals 


Help 


Filter: | >] Expression... [leat peppy 


EE 
2391406 
2301407 
2391408 


FEESETDEREE 


2391410 
2391411 
2391412 
2391413 
2391414 
2301415 
2391416 


2301417 | 


Time 
a 


Source 
O LA be 
l32.880017 172 


132.880032 110. 69 


ze. 


. 59 


132.880073 110. 
132.880079 1772 
132.880102 110. 
132.88011 177 
132.880126 110. 
132.880133 172 


132.8801ld8 110. 


59 


59 


BE 


59 


. 16. 


al 


. 16. 


Sed i| zs 


2.16. 


32. B80154 172.16. 


B.1ü0ü0 
./0.100 
8.100 
. 0.100 
5.100 
. 0.100 
B.1ü0ü0 
.20.100 
B.1ü0ü0 
. 0.100 
S. 10ğ 
. 0.100 


5.100 


2391418 132.880170 110.69.70.100 


2391419 


132.880177 172.18. 


8.100 


2391420 132.880193 110. 69. 70.100 


H E] E] Ed Bl 


Data 


(6) 在 攻击 数据 包 中 


Ethernet II, 
Internet Protocol version 4, 


(32 bytes 


Destination 
110. 69. rü: 100 
LFE LE Ea LAE 
110: 69770100 
172.16. ecd 
110. 70.100 
dime cessere ge SECRET 
1120. 70.100 
LF ga LE E LAE 
TI; 70.100 
172.165. 8.100 
110.6589. 70.100 
172.165. 8.100 
110.69. 70.100 
172.16. 8.100 
110:69; AU. L0Ù 
Lyg La ELAT 


70 aü D8 
5e 45 46 £ 
41 20 63 
of 2e 20 


Frotocol [Length |Info 
UF LII] 


ICMP 
UDP 
ICMP 
UDP 
ICMP 
UDP 
ICMP 
UDP 
ICMP 
UDP 
TEMP 
UDP 
ICMP 
UDP 
ICMP 
UDP 


is fine 


1]02 
74 
102 
Ee! 
loz 
pe! 
102 
pE! 
T7 
r4 
102 
Ee! 
102 
pe! 
l0 
zd 


Frame 1458825: 74 bytes on wire C592 hits), 74 bytes captured (582 
Src: Realteku üa:7ü0:an0 (52:54:00:0a:70:a03, 
src: 110.65.70.100 (110.5625,70.100), 
User Datagram Protocol, src Port: aplx (1134), Dst Port: http (80) 


udesudes u- 


图 3-123 


tan. 


LIII 

Destination 
source port: 
Destination 
source port: 
Destination 
source port: 
Destination 
source port: 
Destination 
source port: 
Dpestinatinn 
source port: 
Destination 
Source port: 
Destination 
source port: 


Save 


| L a [l 
unreachable (Part 
dfn Destination 
unreachable (Part 
dfn Destination 
unreachable Port 
dfn Destination 
unreachable fport 
dfn Destination 
unreachable (Part 
dfn Destination 
unreachable CFort 
dfn Destination 
unreachable fport 
dfn Destination 
unreachable (Part 
dfn Destination 


hits) nn interface ü 


Des 


数据 报 文 内 容 


显示 的 内 容 可 见 "A cat is 
LOIC 软件 中 攻击 包 内 的 标识 相同 ,表明 内 网 服务 需 已 被 外 网 主机 攻击 ,如 图 3-124 所 示 。 


HE Low Orbit Ion Cannon | When harpoons, air strikes and nukes fails | v. 


BELT 


m1. Select your target 


URL 


Ip 


Internet Explorer PENETRI 


请 尝试 以 下 操作 : 


e EERE. ME 


172.16.68.100 


r- selected target 


e SDASELIBIEEER ED 


GE. UBSSEB 


€ 要 获得 有 关 司 用 Inter 


HEE., SSH 


Internet Explorer 


4. 配置 DDoS 防护 中 的 基于 ACL 防护 策略 ,对 攻击 数据 包 进 行 阻 断 
(1) 在 管理 机 中 打开 浏览 疾 ,在 地 址 栏 中 输入 入 侵 防 御 系 统 产 品 的 IP 地 址 https:// 
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Timeout 


a00 


r- Attack status 


Idle 


r-3. Attack options 


HTTP Subsite 


C - 


Methad 


Connecting 


图 3-124 攻击 数据 包 内 容 


10 


Threags 


Wait for reply 


k 


Redquesting 


Lock om 


fine too. Desudesudes 


Lock on 


172.16.8.100 


TEF / UDP message 


unreachablej 
port: http 
unreachablej 
port: httg 
hable? 
port: httg 
unreachablej 
port: http 
unreachablej 
port: http 
unreachahlaeà 
port: http 
unreachablej 
port: httg 
unreachablej 
port: http 


Dst: Realteku 2h:71:b7 (52:54:00:2b: 71:573 
Dst: 172.16.8.100 (172.16.8.100) 


A cat is fine too. Desudesudesu~ 


Downloading 


z= fäster 


Dowvvnloaded 


u 一 ”字样 ,与 


Egg 05 3 X — AXE EE BR A ULIÀE8LEOE — mem 


10.0.0.1( 以 实际 设备 IP 地 址 为 准 ), 进 入 人 侵 防 御 系 统 的 登录 界面 。 输 入 管理 员 用 户 和 名 
admin 和 密码 11fw(@2soc# 3vpn 登录 和 人 入侵 防 御 系 统 。 单 击 面 板 上 方 导航 柱 中 的 “策略 ” 
“DDoS 防护 ” 荣 单 命令 ,如 图 3-125 所 示 。 


NGIPS 
和信 慢 防 部 系统 


图 3-125 ”打开 DDoS 防护 界面 


(2) TE"DDoS 防护 ”界面 , 单 击 “ 基 于 ACL 防护 ”标签 页 ,并 单 击 " 洪 水 防护 规则 ?一 栏 
中 的 “十 ”号 准备 添加 防护 规则 ,如 图 3-126 所 示 。 


图 3-126 ”设置 基于 ACL 的 防护 策略 


(3) 在 弹出 的 “洪水 防护 规则 ”界面 ,ACL 会 选取 之 前 实验 步骤 中 添加 的 ACL 对 象 
acll ,如果 有 多 条 ACL 对 象 , 则 需 在 下 拉 框 中 进行 选取 ,如 图 3-127 所 示 。 


E ICMP 洪 水 


回 IGMP;&zk 


图 3-127 设置 ACL 对 象 


CD 在 * 洪 水 防护 规则 ”界面 ,选中 *UDP 洪水 ”, 保 留 “ 统 计 选项 "的 选择 ,统计 方式 ” 
选择 * 全 局 统计 ”,“ 阔 值 " 输 入 0。 该 阔 值 表明 每 秒 检测 到 指定 个 数 以 上 的 UDP Flood 攻 
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m 入侵 检测 与 入 侵 防 御 实 验 指导  me————— 


击 包 开始 阻 断 ,指定 个 数 的 UDP Flood 数据 包 是 放行 的 ,第 二 秒 重新 计数 。 在 本 实验 中 ， 
现 值 设置 为 0 即 发 现 就 阻 断 数 据 包 ,如 图 3-128 所 示 。 


E ACE 水 


器 Ip 报 文 洪 水 


|] DNS 反射 攻击 


PRSP TCP aM UDP ||] ICMP mum 
TCP | | UDP EE ius 一 一 


MSS 


evo 统计 选项 
统计 方式 


O HTTP 报 文 洪水 "MG 


图 3-128 设置 UDP Flood 防护 值 


(5) 单 击 “ 确 定 ” 按 钮 ,返回 "DDoS 防护 ”界面 ,在 “洪水 防护 规则 ”界面 中 可 见 添 加 的 
规则 ,由 于 启动 UDP Flood 规则 ,所 以 “UDP 洪水 ”一 列 标 识 为 绿色 ,表明 已 启动 相应 规 
则 ,如 图 3-129 所 示 。 


图 3-129 添加 的 防护 规则 


(6) 单 击 右 上 方 的 磁盘 按钮 ,保存 当前 配置 ,如 图 3-130 所 示 。 


T admin ü H Em EB 
“一 m 


NGIPS 
ABEISSERUR 


RE 
ii Iiis n em prp EE. CU. 
AGEe, SUD 


lE. WERFEN. AE 

parro. iAATAA EE 

tak Brit 

pa mdi onere E i deae iane 
BE TEPARA Enei EP. ES i 


图 3-130 ”保存 当前 配置 
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$ 33x 入 侵 防 御 系 统 功能 配置 


CT) 单 击 磁盘 按钮 后 ,显示 “配置 你 存 成 功 ” 的 提示 ,如 图 3-131 Bron. 


1E 


图 3-131 配置 保存 成 功 


(8) 登录 实验 拓扑 右 侧 的 内 网 服务 器 虚拟 机 74CMS ,在 Wireshark 软件 界面 中 可 见 
没有 接收 到 UDP Flood 攻击 包 , 表 明 攻 击 包 已 被 入侵 防御 系统 阻 断 , 如 图 3-132 所 示 。 


FI Capturing from Intel (E) FRO/1000 BT Network Connection: XüevicekEPF IEA4273210A-GS8E3-A4GC3- BFBS-GEGTE4DGTASTT [Yireshark 1 BA 三 El X 


File Edit View Go Capture Analyze Statistics Telephony Tools Internas Help 


Destination Protocol [Length Into 
m. I 2 一 F. LI Lu ic] a CL mr i m rj L3 


22 56, 2085920 172.16.8. 50 ITE a a io E i NENS 110 Registration NE «Üül-cÜ02»  MSBROWSE  xü22«0l1- 

23 58, 6372520 Realteku Qa:70:aü  Realteku 2bh:71:b? ARP 60 who has 172.16.8.100? Tell 172.16.8.1 

24 58.65372670Re8alteku 2b:71:b?  Realtekü üa:?ü:a0 — ARP dg lag. a ds SE 209o aseo 

25 58. 9536370 172.16.68.50 IPE a Ea Eia A BROWSEF 223 Reguest Announcement AN*Y-IO00005 

26 58.8537200172.16.8.100 172.16.8.255 BROWSER 243 Local Master Announcement w3ssP2, Workstation, server, NT 


27 58.0538458017/2.16.5.50 bsec Leo Eo A g BROWSEF 223 Reguest Announcement AmMN*Y-IO00005 
28 58.80538560172.16.8.50 172.16.58.255 BROWSER 253 Domalin,;workgroup Announcement wORKGROLP, NT workstation, 
29 59, 3020750 Realteku Qa:?70:aü  Realteku 2b:71:b? ARP 6&0 who has 172.16.8.100? Tell 172.16.8.1 


30 55.,3020850 RBalteku 
31 63, 5451630 REalteky Qa:70:a0 Broadcast ARP &O who h 172.15.8.1d]0?7 Tell 172.156.8.1 
32 63. 5451800 RBalteku ?2b:71:b*  Raealtekl, Qa:;/ü0:a0 ARF 42 172.160?8.100 3175s at 52:54:00:2b:71:b7 


 2b:71:b* RealtekUy Oa:70:a0 ARF dz? Lre. l.S- L00 15 at 52e 94:00: Aas: 71L: a7 
33 63, 5452540 REalteky Qa:70:a0 Broadcast ARP &O who has 172.16.8.1007 Tell 172.156.8.1 


34 63, 5452610 Realteku 2b:71:b?  Realteku üa:£0:a0 ARP d? abs dle spe dg Ja BE 52s e RT dre 

35 63.54 52800 Realteklu üa:7ü:a0 Broadcast ARP 50 who has 172.16.8.100? Tell 172.16.8.1 
36 63. 5452960 Realteku 2b:71:b?  Realteku üa:z0:aü0 ARF d? b la E L00 Ta EE 52e 5d r00 S RS Get ES S [n 

37 rü. 8003280 172.16.8.1 dde MNDP 131 source port: rrac Destination port: rrac 


图 3-132 抓 取 数据 包 


(9) 在 UDP Flood 防护 参数 中 , 除 之 前 设置 的 模式 外 ,还 有 3 种 防护 模式 :“ 统 计 方 
式 ” 设 置 为 “ 源 IP 统计 2， 国 值 ?为 10, 表 明 每 秒 检测 到 同一 个 源 IP 有 10 个 以 上 UDP 
Flood 攻击 包 时 开始 阻 断 ,前 10 个 放行 ,第 二 秒 开始 重新 计数 ;“ 统 计 方式 ”设置 为 “全 局 
统计 ”,“ 阅 值 ” 为 10, 选 中 下 方 的 “ 黑 名 单 ”, “超时 时 间 ” 设 置 为 5 分 钟 , 表 明 每 秒 检测 到 有 
10 个 以 上 UDP Flood 攻击 包 时 开始 阻 断 ,前 10 个 放行 并 阻 断 5 分 钟 ,5 分 钟 后 开始 重新 
计数 王 统计 方式 ?设置 为 " 源 IP 统计 ?2， 国 值 ?为 10 ,选中 下 方 的 " 黑 名 单 ”“， 超 时 时 间 ? 议 
置 为 5 分钟 ,表明 每 秒 检测 到 同一 源 IP 有 10 个 以 上 UDP Flood 攻击 包 时 开始 阻 断 ,前 
10 个 放行 并 阻 断 5 分 钟 ,5 分 钟 后 开始 重新 计数 。 学 生 可 自行 调整 相关 参数 ,查看 实验 
结果 。 

(10) 登录 实验 拓扑 左 侧 的 外 网 虚拟 机 WXPSP3 ,调整 攻击 方式 ,准备 开始 HTTP 
Flood 攻击 ,如 图 3-133 所 示 。 

(11) 在 外 网 虚拟 机 的 LOIC 软件 界面 , 单 击 右上 角 的 “Stop flooding” 按 钮 ,停止 
UDP Flood 攻击 ,如 图 3-134 所 示 。 

(12) 在 软件 界面 的 “3.Attack options" — £5 rP, Method 选择 HTTP, 并 再 次 单 击 右 
上 角 的 “IMMA CHARGIN MAH LAZER” 按 钮 ,开始 HTTP Flood 攻击 ,如 图 3-135 
所 示 。 

(13) 登录 实验 拓扑 右 侧 的 内 网 服务 硕 虚 拟 机 74CMS, 如 图 3-136 Brzn . 
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110.10.1.1/24 


| 全 172.16.18.1/24 
WXPSP3 : 


110.10.1.100/24 


7TACMS(WebBE $5 23) : 
172.16.8.100/24 


WXPSP3. 172.16.8.5024 ”审理 机 : 10.0.0.22 
图 3-133 ”登录 左 侧 的 外 网 虚拟 机 WXPSP3 


HE Low Orbit Ion Cannon | Then harpoons, air strikes and nukes fails | v. 1.0.8.0 
1.Select your target 


i] 取消 操作 URL Lock on 


IP 17216.8100 


Sto p flaodin t] 
Lack an 
Internet Explorer -F BEBHETDEÓ 


Selected taget 


EEFE: 


。 单 击 [出 新 控 钮 ， 或 人 
e 如 果 您 以 前 查看 过 该 页 
ETA. RA RI 


3. Attack optione 
Timeout HTTP Subsite 
3001 l 
Internet Explorer 
10 wait far reply 


Threads 


Atack status 
Idle connecting Reguesting Downloading Downloaded Requested Failed 


T 


[ [ 3 38 1080425 [ 


图 3-134 停止 UDP Flood 攻击 


EE Lor Orbit Ion Cannon | When harpoons, air strikes and rukes fails | v. 1.0.8.0 


|. Select your target 


| URL | Lokon 
DES P 172168100 | Lockon 


Internet Explorer -FAEWEIS 


Selected target 


ESk PEE: 


«Szenen» K 
LER TRE EL Bi ERE LECT 
SAPE. Hanpi 
。 EXRSSISE Inter ND 
Bir i 起 后 单 击 目 zi a3. tack optig IE 


Uber TEF ! UDF message 
anm A cat iz fine too. Desudezudeszum- 


Internet Explorer 


Mat far reply E 


<= faster slower == 


Connecting Regquestina Dowwnbading Dovvnlaaced Requested Failec 


0 0 3 38 2499727 ü 


图 3-135 ”切换 为 HTTP Flood 攻击 模式 
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110.10.1.1/24 


一 一 -一 一 


172.16.18.1/24 


74CMS(Web 服 务 器 ) . 


WXPSP3. 172.16.8.100/24 


110.10.1.100/24 C 
E 


WXPSP3 172.16.8.50/724 ”管理 机 : 10.0.0.22 
图 3-136 登录 右 侧 的 内 网 服务 豆 虚 拟 机 74CMS 


(14) 在 虚拟 机 中 的 Wireshark 软件 中 ,可 见 抓 取 到 的 HTTP Flood 攻击 包 , 如 图 3-137 


Filter: | >| Expression... plear Apply Save 


n. Destination Protocol [Length [Into 
E a HH AE] Eu E 8 zi erus Tem TEE P LY, 器 


77465 cibis cb gt ep TERES 69.70. 165.8. 60 instantia > http [ack] Seg=21 Ack-24381 wins65535 Len=ĝ 
77456 1282.45744 110.589.70. .16.8. 60 instantia > http [Ack] seg-21 Ack=7301 winsz65535 Len=û 


We a LEa Ea 60 nmsd » http [Ack] Sedq=21 Ack=2921 win=55535 Len-ü 
FAT? 1282.459038 110. 69.70. .16. 8. 60 instantia > http [ack] Seg=21 Ack=8761 win=55535 Len=0 


PA 1282. 46063 110. : dimisi &ü instantia > http [ACK] seg-21 Ack-11681 wins-525615 Len=0 
F747 l282.46063 110. : .16. a. TCP 60 instantia > http [Ack] seg221 Ack-14601 win-556985 Len-ü 
FATO l282.46064 110. 69.70. .16. 8.100 TCP 60 mesavisrtaco » http [Ack] seg-1l Ack-1 winsz65535 Len-ü 


"dB 1282.46115 110. 59,70. a Lio Ea IL TEP 60 nmsd > http [ACK] Seq=21 Ack-7301 win-55535 Len-ü 


EH Frame 75482: 508 bytes on wire (4064 bits), 508 Bytes captured (4064 bits) on interface ù 
El Ethernet II, src: Realteku 2b:71:b* 6(52:54:00:2b:71:b73, Dst: Realtekl Qa:70:a0 (52:54:00:0az70:a03 
E Transmission Control P^otocol, src Port: http (803, Dst Port: caspss]| (1131), seg: 17521, Ack: 21, Len: 434 


] "M 
..X/aszx/ diw.. se = 


"^r =] “ne ml 


B BY Intel(R) »RO/1000 MT Network Connection: | Packets: 77478 Displayed: 77478 Marked: ü Profle: Defaut — Defaut 
图 3-137 抓 取 到 HTTP Flood 攻击 包 


(15) 在 管理 机 中 打开 浏览 带 , 在 地 址 栏 中 输入 入 侵 防 御 系 统 产 品 的 IP 地 址 
https://10.0.0.1( 以 实际 设备 IP 地 址 为 准 ), 进 入 入 侵 防 御 系 统 的 登录 界面 。 输 入 省 理 
员 用 户 名 admin HIZE fid! 1£5w(22soc € 3vpn 登录 人 侵 防 御 系 统 。 选 择 面 板 上 方 导 航 栏 中 
的 “策略 ”>“DDoS 防护 ”菜单 命令 ,如 图 3-138 所 示 。 

(16) 在 "DDoS 防护 ”界面 中 , 单 击 “基于 ACL 防护 ?标签 页 ,再 双击 之 前 步骤 中 添加 
的 洪水 防护 规则 ,如 图 3-139 所 示 。 
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图 3-139 ”编辑 洪水 防护 规则 


(17) 在 弹出 的 “洪水 防护 规则 ?界面 ,选中 “HTTP 报 文 洪水 >”，“ 国 值 ? 设 置 为 0， 攻 
击 端 口 ? 设 置 为 80, 如 图 3-140 所 示 。 


Vcn N 80 — | 


* 目 的 IP "GETH | | *pOST 国 值 ES 
: 源 |P 统 计时 间 * 访 问 庙 口 阔 值 | | "ais PRÉ 


图 3-140 iz HTTP Flood 防护 参数 


(18) 单 击 “ 确 定 ” 按 钮 ,人 返回 “DDoS 防护? 界面, 可见“ 洪水 防护 规则 ”中 对 应 规则 
"HTTP 报 文 洪 水 ?一列 已 变 为 绿色 ,如 图 3-141 所 示 。 
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3X — 入 侵 防 御 系 统 功能 配置 


ES ua 


BO PES SAN ACKEK 


图 3-141 增加 HTTP Flood 防护 选项 


(19) 单 击 右上 方 的 磁盘 按钮 ,保存 当前 配置 ,如 图 3-142 所 示 。 


|a 5 
HTTPRÉEEESK 


[3-142 保存 当前 配置 


(20) 单 击 磁盘 按钮 后 ,显示 “配置 保存 成 功 ” 的 提示 ,如 图 3-143 所 示 。 


图 3-143 ”配置 保存 成 功 


DDosbenem EXISTIT 


ZTES adran A H m [E 


TE BR 


Ri 
EHSA LAH, dpa 
| 


Ss. MORET. USERS | 


fusus. Ahira, 
kTE ds 
ei 


(21) 登录 实验 拓扑 右 侧 的 内 网 服务 器 虚拟 机 74CMS ,在 Wireshark 软件 界面 中 可 见 


基本 没有 HTTP Flood 数据 包 ,如 图 3-144 所 示 。 


Ul Capturing from Intel(R) FEO/1000 NT Hetwork Connection: Device HPF [IE423210A-89E3-4G8C3-BFES-GEGT1EA4DGTASD]? 
Hel 


x ZAJAS» FT AlEBaRaaa nw T k 


Filter: | »| Expression.. 


| Frotocol [Length Into 


Fle Edt view Go Capture Analyze Statistics Telephony Tools Internals 


| B 


[Lear Appi Save 


380. 70.100 JL ggg «dien. 
70.100 eT 
0.10 Pre M 


0.108 172.18. 


.l1ü00 
-10 
ETE CP FD datusorb > 


ENT 50 caps-lm > 
0. 60.70.100 172.14. 8.100 SO 4talk > http [RsT] seq-i win- 0 Len-ü 
1.69, 70.100 172.15. 8 


: i. 100 50 plato > http [RsT] seg-l winszü Len=0 
SGT a a a Qaid: Realtaku. 2b: wha has 172.16.89.100? Toll 172.15.8.1 
251218 1909. 65658 Realteku 25:71: Realteku üa:7ü: Lre- A ds Si e ano e DO E aree md ad e 
aGizzo0 1910. 651620 R&5alteku. Qa:?0: Realtseku. 2b: who has 172.16.8.1007 Tell 172.15.8.1 
261221 1910. 65622 Realteku 25:71: Realtseku üa:7ü0: quosque S L00 ds ar 52: 34 se o Erste Ee 
2eOl222 1911.653634 Realrteku, dga:70: Realrseku, 2b: who has 172.16.8.1007 Tell 172.195.8.1 
261223 l1911.65637*Realteku 25:71: Realteku üQa:7ü0: dente diee re L00 ds at 5235A s 0A Lr 
201224 19156.577/5;Realteku Qa: £u: Braacdcast wha has 17£2.16.8.100? Tell 1/2.15.5.1 
261225 1916. 57759 Realteku 25:71: 


Realteku Qa: Lra 18.6.10 15 at 525 54 e02 ma Esa 
E] Frame 75492: 508 bytes on wire 


(4064 bits), 508 bytes captured 4064 bits) on interface å 
器 [Esme rm, srs EE IS EE sm C5254 e 00an riea esr [exe ws) see ed al 
H 


团 Transmission control Protocol, 


un 


283 > http [RST] Seg=1 win=0 Len=0 
+ http [RST] ， 
hritp [RST] win=ġ Len- 
http [RST] Seq=1 win=ġ EN 


1 a 


Sen-] 


[P] 


[rA 


Sre Porta hete OBI I Dat Parte caspssl COLEI) Senje L752d, Selke ail; Lams das 


BL 
pde divz..«d 


sr olarro 一 "13 l h 


A Sf Intel m 1000 MT YES EET "in EET EXE SECO 261225 Marked: ü | Prafile: Default 


图 3-144 HTTP Flood 数据 包 被 阻 断 


[Tireshark 1.8.: 


seg=l winzü -en- Ü 
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(22) TE" HTTP 报 文 洪水 ?防护 参数 中 ,与 UDP Flood 防护 参数 中 的 黑 名 单 相 似 。 
“ 国 值 ?设置 为 10, 采 用 “ 黑 名 单方 式 ”, 设 置 “ 超 时 时 间 ” 为 5 分 钟 , 表 明 每 秒 检测 到 10 个 
以 上 HTTP Flood 攻击 包 后 开始 阻 断 ,前 10 个 数据 包 通 过 并 阻 断 5 分 钟 ,5 分 钟 后 开始 
重新 计数 。 

(23) 本 实验 以 ARP 攻击 、UDP Flood, HTTP Flood 3 种 攻击 方式 为 例 , 其 他 防护 方 
式 可 参考 这 3 种 方式 进行 设置 。 本 实验 对 这 3 种 攻击 方式 均 实现 安全 防护 ,满足 实验 


【实验 思考 】 


(1) DDoS 防护 中 ,全 局 防护 与 基于 ACL 防护 模式 有 什么 区 别 ? 
(2) 如 果 内 网 设置 一 个 蜜 铅 网 络 用 于 安全 测试 ,如 何 配 置 该 蜜 钠 网 络 中 的 数据 安全 
防护 ? 
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qd 4 
”人 侵 检测 与 人 侵 防 御 
系统 数据 分 析 


入 侵 检 测 系 统 对 流量 进行 实时 采集 并 进行 深度 分 析 , 将 发 现 的 攻击 或 威胁 进行 记录 
并 实时 报 鸭 ,用 户 可 以 随时 对 用 户 网 络 目前 正在 发 生 或 是 可 能 构成 浴 在 威胁 的 安全 事件 
进行 幸 用 查看 、 分 析 和 和 确认。 数据 分 析 是 发 现 可 疑 攻击 行为 的 重要 过 程 , 入 侵 检 测 系 统 采 
用 深度 数据 分 析 技 术 ,通过 多 次 的 数据 查询 和 统计 操作 ,用 户 可 以 从 大 量 的 时 间 告 芍 中 快 
速 准确 地 找到 所 需 的 数据 。 

入 侵 防 御 系 统 可 以 用 来 监视 网 络 的 各 种 传输 行为 , 当 出 现 寞 常 行为 时 ,及 时 对 网 络 访 
ÍTR. SEE A ft B3 48] 2s DM r Mr 流量 监控 .事件 监控 、 会 话 监控 后 , 驶 能 使 用 人 
侵 防御 系统 ,同时 通过 报告 管理 功能 生成 各 种 报表 。 当 和 人 侵 事件 发 生 后 ,可 以 从 指定 的 接 
口 镜 像 攻击 报 文 ,形成 取证 数据 包 , 实 现 对 流 经 人 侵 防 御 系 统 攻击 数据 的 取证 。 


4.1 Av fg [75 18] 系统 业务 分 析 实 验 


【实验 目的 】 


通过 信息 系统 近期 的 统计 信息 分 析 信 息 系统 的 业务 状态 。 
【知识 点 】 
全 局 开关 、 业 务 分 析 。 


[5 zm f ^] 

A 公司 的 张 经 理 要 求 安 全 运 维 工程 师 小 王 定 期 对 入 侵 防 御 系 统 收集 到 的 各 类 事件 
进行 汇总 分 析 , 用 于 优化 公司 信息 系统 的 安全 设置 。 小 王 需要 使 用 入 侵 防 御 系 统 中 的 可 
视 功 能 汇总 和 分 析 各 类 数据 ,请 思考 应 如 何 配置 和 分 析 入 侵 防 御 系 统 的 可 视 化 数据 。 

【实验 原理 】 

在 入 侵 防 御 系 统 的 可 视 化 界面 ,应 用 排名 显示 连接 数 最 大 的 前 5 个 应 用 。 文 件 控制 
排名 显示 匹配 次 数 最 多 的 前 5 种 文件 类 型 。IPS 排名 显示 攻击 次 数 最 多 的 前 5 种 攻击 类 
别 。AV 排名 显示 按照 攻击 次 数 排序 中 最 常见 的 5 种 病毒 类 型 。 木 马 排 名 中 显示 最 易 被 


m  AXdEXxm3SlXAESP3DZELIRGRO mew 


攻击 的 前 5 个 网 站 名 称 。URL 过 滤 排 名 显示 匹配 次 数 中 最 多 的 前 5 个 URL。 数 据 防护 
排名 中 显示 出 现 次 数 最 多 的 前 5 个 关键 字 。 用 户 事件 排名 中 显示 事件 次 数 最 多 的 前 5 个 
HP, 


【实验 设备 】 


安全 设备 : SecIPS 3600 入 侵 防御 系统 设备 1 台 。 
网 络 设备 : 路 由 需 1 台 , 交 换 机 1 R. 
EHL im: Windows 2003 SP2 主机 2 台 ,Windows XP SP3 主机 2 台 ,Windows 7 € 


机 1 人 台 。 


142 


[3: Uv $8 T^] 
入侵 防御 系统 业务 分 析 实 验 拓扑 图 如 图 4-1 所 示 。 


"ODES 


74CMS 服 务 器 


WXPSP3 : 172.16.1.100/16 ^ GE2 GE3 Cx) 110.16.1.100/24 
/| N M 172.16.1.116 W 


ri 

[ ] 110.16.2.1/24 一 一 
WXPSP3 : 172.16.2.100/16 Eshop 服 务 器 : 
110.16.2.100/24 


TI L'UO'0I : IdD 


管理 机 : 10.0.0.22 
图 4-1 和信 侵 防 御 系 统 业 务 分 析 实 验 拓扑 图 


【实验 思路 】 

(1) 配置 桥接 口 。 

(2) 创建 地 址 对 象 。 

(3) 创建 网 址 过 滤 黑 日 名 单 , 配 置 对 应 的 策略 。 
(4) 创建 新 的 URL 分 类 ,配置 对 应 的 策略 。 
(5) 打开 全 局 开头 。 

(6) 查看 业务 分 析 的 可 视 化 界面 。 


【实验 步骤 了 】 
(1) 在 管理 机 中 打开 训 览 器 ,在 地 址 栏 中 输入 人 侵 防 御 系 统 产 品 的 IP 地 址 https:// 


第 AGE 入 侵 检 测 与 入 侵 防 御 系 统 数 据 分 析 


10.0.0.1( 以 实际 设备 IP 地 址 为 准 ), 进 入 入 侵 防 御 系 统 的 登录 界面 。 输 入 管理 员 用 户 名 
admin 和 密码 11fw(@2soc# 3vpn 登录 人 入侵 防御 系统 。 在 弹出 的 提示 修改 密码 界面 单 击 
“取消 ”按钮 。 

(2) 登录 入 侵 防 御 系 统 设备 后 ,会 显示 入 侵 防 御 系 统 的 界面 。 

(3) 选择 界面 上 方 导航 栏 中 的 "网络 ”>“ 网 络 接口 ”六 单 命令 。 

(4) 在 "网络 接口 ”界面 找到 “人 逻辑 桥接 口 ” 部 分 , 单 击 “ 十 ”按钮 创建 新 的 逻辑 桥 。 

(5) 在 “十 ”界面 ,输入 “桥接 口 ID” 为 10 ,选中 "启用 桥接 口 ?， 绑 定 接口 ?选择 “Ge0/ 
0/2,Ge0/0/3", 

(6) 选择 界面 上 方 导航 栏 中 的 “资源 ”一 “资源 对 象 ” 荣 单 信 令 。 

(7) 在 “资源 对 象 * 界 面 , 单 击 “ 地 址 资源 ”的 “十 ”按钮 ,增加 地 址 对 象 。 

(8) 在 “十 ?界面 ,输入 “名称 ”为 any, 选 中 “网 段 ”,“ 地 址 框 ” 中 输入 0.0.0.0. “T E HE 
码 ” 选 择 0.0.0.0。 

(9) 选择 面板 上 方 导 航 栏 中 的 " 质 源 ”一 条 略 对 象 " 某 单 命 令 。 

(10) 在 “策略 对 和 象 * 界 面 , 单 击 “网 址 过 小” 的 “十 ”按钮 ,创建 黑 \ 日 名 单 。 

(11) 在 “十 ”界面 ,“URL 过 滤 名 称 ” 输 入 noshop,“ 黑 名 单 过 滤 方 式 ” 选 择 “ 关 键 字 ”， 
"URL 黑 名 单 ? 输 入 110.16.2.100 确认 无 误 后 单 击 “ 添 加 ”按钮 ,“ DUE Sd UE Jj 3X Xe TE 
“关键 字 ”,“URL 白 名 单 ? 输 入 110.16.1.100 确认 无 误 后 单 击 “ 添 加 ”按钮 ,最 后 单 击 “ 确 

(12) Æ“REXN Z” AH. E URL 2$", 

(13) 在 “URL 类 ”界面 ,选择 “URL 目 定 义 类 ”部 分 , 单 击 “十 ”按钮 新 建 URL 类 。 

(14) 在 “十 ”界面 ,“ 组 名 称 ” 输 入 nothing. “URL 地 址 ” 填 110.16.1.100, 单 击 “ 添 加 ” 
按钮 。 

(15) 在 “十 ”界面 “URL 地 址 ”中 输入 110.16.2.100, 单 击 “ 添 加 ”按钮 ,确认 信息 无 误 
后 单 击 “ 确 定 ” 按 钮 。 

(16) 在 “URL 类 ”界面 ,选择 “URL 类 ”部 分 , 单 击 “ 十 ”按钮 创建 新 的 URL 2725, 

(17) 在 “十 ”界面 ,“ 分 类 名 称 ” 输 入 noshop ,在 “URL 分 类 列表 ”中 找到 新 建 的 分 类 
nothing. IE. ih“ 二 二 ”按钮 ,最 后 单 击 “确定 ”按钮 。 

(18) 选择 面板 上 方 导航 栏 中 的 “策略 ”一 “安全 策略 ”菜单 命令 ,在 “安全 各 上 略 ” 界 面 单 
击 “ 十 ”按钮 ,添加 新 的 安全 策略 。 

(19) 在 “编辑 策略 ”界面 “策略 名 称 ” 输 入 noshop, 选 择 “ 源 ”,“ 源 IP 对 象 ” 选 择 any, 

(20) 在 “编辑 策略 ”界面 ,选择 “目的 > 目的 IP 对象” 选择 any. 

(21) 在 “编辑 策略 ”界面 ,选择 “URL IŽ”, “URL ARCEM noshop. 

(22) 在 “编辑 策略 ”界面 ,选择 “安全 业务 ”, URL 过 滤 ?选择 noshop ,其 他 保持 默认 
配置 。 

(23) 在 “编辑 束 略 ”界面 ,选择 “动作 ”, “操作 ”选择 接受”, 确 认 无 误 后 单 击 “ 确 定 ” 
按钮 。 

(24) 选择 界面 上 方 导航 栏 中 的 “管理 ”>“ 全 局 配置 ”菜单 命令 ,如 图 4-2 所 示 。 

(25) 进入 “全 局 配置 ”界面 。 
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图 4-2 全 局 配置 


(26) 在 “全 局 配置 ”界面 找到 “日 志 记 录 ”, 将 除 “ 黑 名 单 类 日 志 ” 和 “ 包 过 小 上 默认 通过 
日 志 ” 的 开关 痢 打 开 , 单 击 “ 确 定 ” 按 钮 ,如 图 4-3 Bros. 


图 4-3 日 记 记 录 开 关 


(27) 在 “全 局 配置 ”界面 ,选择 “全 局 开关 ”按钮 。 

(28) 在 “全 局 开关 ”界面 ,将 “流量 统计 ”的 开关 都 打开 ,其 他 选项 保持 默认 值 ,并 单 击 
界面 下 方 的 “确定 ”按钮 。 

【实验 预期 了】 


在 入 侵 防御 系统 的 业务 分 析 可 视 化 界面 查看 最 近 一 段 时 间 内 的 事件 统计 信息 ,在 此 
次 实验 中 可 以 查看 到 URL 过 滤 排 名 、 用 户 事件 排名 、 源 区 域 事件 排 名 .目的 区 域 事件 
排名 。 

【实验 结果 】 


(1) 登录 实验 平台 对 应 实验 折 扑 左 侧 的 任意 一 台 WXPSP3 虚拟 机 (代表 公司 的 不 同 
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s— (X 4 GEO 入 侵 检测 与 入 侵 防御 系统 数据 分 析 ”IE 


部 门 ) ,如 图 4-4 所 示 。 


IEEE, 
— 
110.16.1.1/24 | 


74CMS 服 务 右 : 


GE3 C») 110.16.1.100/24 
1721611/16 全 


WXPSP3: 172.16.1.100/16 GE2 


MEN. 

| nue 3 

110.16.2.1/24 | 

x E 


WXPSP3. 172.16.2.100/16 Eshophk $5 23 : 


110.16.2.100/24 


lj .... «o 


管理 机 ;10.0.0.22 
图 4-4 登录 左 侧 的 任意 一 台 WXPSP3 虚拟 机 


(2) 双击 虚拟 机 虹 面 上 的 火狐 浏览 错 
(3) 在 火狐 浏 贤 占 的 地 址 框 中 输入 http: //110.16.1.100 CE URL xx J£ F1 445 H8 ) . a 
认 无 误 后 按 Enter 键 成 功 转 到 相应 网 站 ,如 图 4-5 所 示 。 


BENIN 招聘 信息 AEP ”求职 信息 。 亚 工 具 箱 。 新闻 资讯 muc, 进入 


当前 位 年: 网 站 首页 
搜索 职位 VAA: 0 een. 0 有效 简历 : 0 全 


录 近 更 新 上 职位。 EH! 
热门 美 键 宇 ， 销售 代表 销售 经 理 会 计 销售 工程 师 销售 助理 道路 搜索 职位 BE 


110. 16. 1. 100/user/login. php LU 


F ER i LU 
JOE ri ) Rui; Ew 


(4) EKIA E i HJ HET: Pd A. http: //110.16.2.100 08 T€ URL WIA AAH), 
确认 无 误 后 按 Enter 键 , 发 现 不 能 转 到 相应 网 站 ,URL 管控 成 功 符 合 预 期 ,如 图 4-6 
所 示 。 

(5) 在 管理 机 中 打开 训 览 器 ,在 地 址 栏 中 输入 入 侵 防御 系统 产品 的 IP 地 址 https:// 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ) ,进入 人 侵 防 御 系 统 的 登录 界面 。 输 入 管理 员 用 户 名 
admin 和 密码 11fw(@2soc# 3vpn 登录 入 侵 防 御 系 统 , 如 图 4-7 Bron. 

(6) 登录 入 侵 防 御 系 统 设备 后 ,会 显示 和 人 入侵 防 御 系 统 的 面板 界面 ,如 图 4-8 所 示 。 

(7) 选择 面板 上 方 导航 栏 中 的 “可 视 ”>“ 业 务 分 析 ” 羔 单 命 令 , 如 图 4-9 所 示 。 

(8) 选择 业务 分 析 时 间 ,如 图 4-10 所 示 。 
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4-7 入侵 防御 系统 登录 界面 
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图 4-8 入 侵 防 御 系 统 的 面板 界面 
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图 4-9 业务 分 析 


T5551 
TIRSS. 1%. 


图 4-10 ”选择 业务 分 析 时 间 


(9) 在 “业务 分 析 ” 界 面 ,可 以 看 到 “URL 过 滤 排 名 ”的 数据 ,符合 预期 ,如 图 4-11 
所 示 。 


110.163.100 


110.162.100 


4-11 URL 过 滤 排 名 


147 


m Aan Aa A E  me—— 


(100 EAE DA” A, n] LAE SUE" HIP RHEA T BS COS. EG BUS). an El 4-12 
所 示 。 


4-12 用户 事件 排名 


aD 在 "业务 分 析 ” 界 面 , 可 以 看 到 " 源 区 域 事 件 排 名 ?的 数据 ,符合 预期 ,如 图 4-13 
Br. 


4-13 源 区 域 事件 排名 


(12) 在 “业务 分 析 ” 界 面 ,可 以 看 到 “目的 区 域 事件 排名 ”的 数据 ,和 从 合 预 期 ,如 图 4-14 
Br. 
(130 £& E Br ,在 人 侵 防 御 系 统 的 可 视 化 界面 查看 到 了 业务 分 析 数 据 ,符合 预期 。 


【实验 思考 】 


(1) 这 些 可 视 化 数据 可 以 保存 导出 吗 ? 
(2) 如 何 找 回 丢失 的 数据 ? 
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172.16.2.100 


172.16.1.100 


图 4-14 目的 区 域 事 件 排名 
4.2 入 侵 防 御 系 统 流 量 监控 实验 


【实验 目的 】 
管理 员 通 过 对 和 人 侵 防御 系统 的 接口 IP .应 用 组 对 象 等 进行 配置 ,能 够 监控 通过 入 侵 

防御 系统 设备 的 流量 信息 。 

【知识 点 】 

全 局 开关 流量 监控 。 

[5 2:18 1^] 

A 公 司 的 安全 运 维 工程 师 小 王 接 到 其 他 部 门 的 反馈 ,最 近 上 网 速度 比较 缓慢 ,小 王 想 通 
过 和 人 侵 防 御 系 统 进行 流量 监控 和 分 析 ,请 思考 应 如 何 分 析 入 侵 防 御 系 统 的 流量 监控 数据 。 


【实验 原理 】 


IPS 的 流量 可 视 化 模块 将 组 织 网 络 使 用 情况 以 可 视 化 形式 帮助 管理 员 mE 前 网 络 
的 运行 情况 ,管理 员 可 以 直接 查看 接口 流量 统计 图 、 当 前 应 用 流量 TOP10 等 信息 。 这 些 
功能 可 帮助 网 络 管理 员 透 视 整 个 组 织 网 络 应 用 现状 ,及 时 发 现 当 前 网 络 中 过 度 占用 带宽 
的 应 用 ,合理 调整 市 宽 管理 策略 ,保证 重要 应 用 业务 市 宽 的 优先 级 。 


【实验 设备 】 
安全 设备 : SecIPS 3600 人 侵 防 御 系 统 设 备 1 台 。 
网 络 设 备 : 路 由 需 1 f 
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主机 终端 : Windows XP SP3 主机 1 & . Windows 2003 主机 1 & . Windows 7 主机 1 8. 
【实验 拓扑 】 
入 侵 防 御 系 统 流量 监控 实验 拓扑 图 如 图 4-15 所 示 。 


GE3 172.16.1.1/24 


74CMS(Web]f£ 25 23) : 
110.10.1.100/24 


PCI: 172.16.1.100/24 


管理 机 ，10.0.0.22 
图 4-15 和 人 入侵 防御 系统 流量 监控 实验 拓扑 图 


【实验 思路 】 


CD 增加 逻辑 桥接 口 。 
(2) 增加 地 址 对 象 。 
(3) 增加 应 用 组 对 象 。 
(4) 增加 安全 策略 。 


(1) 在 管理 机 中 打开 浏览 器 ,在 地 址 栏 中 输入 入 侵 防 御 系 统 产 品 的 IP 地 址 https:// 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ), 进 入 入 侵 防 御 系 统 的 登录 界面 。 输 入 管理 员 用 户 名 
admin 和 密码 11fw(@2soc# 3vpn 登录 作 侵 防御 系统 。 当 弹出 修改 密码 的 窗口 时 , 单 击 
“取消 ”按钮 。 

(2) 可 见 人 侵 防 御 系 统 面板 界面 ,成 功 登 录 到 设备 面板 。 

(3) 选择 设备 面板 上 方 导航 栏 中 的 “网 络 ” 一 “网 络 接 口 ”菜单 命令 。 

(4) 在 “网 络 接口 ?界面 的 “逻辑 桥接 口 ? 中 单 击 “ 十 ?按钮 ,增加 逻辑 桥接 口 。 

(5) 在 “编辑 逻辑 桥接 口 ? 界 面 “ 桥 接口 ID” 输 入 1, 选 中 “启用 桥接 口 ?,“ 绑 定 接口 ?” 
选择 Ge0/0/2 和 Ge0/0/3, 

(6) 单 击 “确定 ?按钮 ,可 见 成 功 增加 逻辑 桥接 口 。 

CD 双击 打开 网络 接口 ?界面 的 “以 太 网 接口 ”的 Ge0/0/2。 

(8) 在 “编辑 以 太 网 接口 ?界面 ， 流 统计 标识 ?选择 inside, 其 他 保持 默认 配置 。 

(9) 单 击 “ 确 定 ” 按 钮 ,双击 打开 Ge0/0/3。 在 “编辑 以 太 网 接口 ?界面 ， 流 统计 标识 ” 
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选择 outside ,其 他 保持 默认 配置 。 


(10) 单 击 “确定 ”按钮 ,返回 到 “网 络 接口 ?界面 ,可 见 成 功 设 置 的 以 太 网 接口 。 

(11) 选择 界面 上 方 导航 栏 中 的 “资源 ”一 “ 帝 源 对 和 象 ”* 亲 单 全 令 。 

(12) 在 “资源 对 象 * 界 面 , 单 击 “ 地 址 对 象 ”* 的 “十 ”按钮 增加 地 址 对 象 。 

(13) 在 “地址 对 象 维护 界面, 输入“ 名称” 为 “地址 1”,“ 地 址 ”下 一 行 设置 172.16.1.0、 


255.255.255.0 ,其 他 保持 默认 配置 。 


(14) 单 击 “确定 ”按钮 ,返回 到 “资源 对 和 象 * 界 面 。 单 击 “ 地 址 对 和 象 ” 的 “十 ”按钮 ,增加 


地 址 对象。 


255.255.255.0, 其 他 保持 默认 配置 。 


(16) 单 击 “确定 ?按钮 ,返回 到 “资源 对 象 " 界 面 , 可 见 成 功 增加 的 地 址 对 象 。 
(17) 单 击 " 资 源 对 象 ? 面 板 上 方 导 航 栏 中 的 “应 用 组 对 象 ”。 
(18) 在 “应 用 组 对 象 ? 界 面 , 单 击 “ 十 ”按钮 ,增加 应 用 组 对 象 ,如 图 4-16 Bron 。 


W A M dg 10 |1]0 


rm. 
Li 


于 性 这 六 个 扒 启 
a] 192.168.280 | = 


图 4-16 ”增加 应 用 组 对 象 


(190 在 “应 用 协议 配置 * 寞 面 ,输入 “应 用 对 象 名 称 ” 为 appl, 选 中 “过 滤 条 件 ” 的 “或 ”。 


早 击 “基于 协议 树 配 置 ”按钮 ,选中 所 有 的 应 用 协议 。 


(20) 单 击 “确定 ”按钮 ,可 见 成 功 增 加 的 应 用 组 对 象 。 

(21) 选择 界面 上 方 导 骨 栏 中 的 “策略 >“ 安全 策略 ”菜单 命令 ,如 图 4-17 所 示 。 

(22) 在 “安全 策略 ”界面 , 单 击 “ 安 全 策略 ”的 “十 ”按钮 ,增加 安全 策略 。 

(23) 在 “新 建 策 略 ” 界 面 , 输 入 “ 素 上 略 名 称 ” 为 policy1 ,在 “策略 条 件 ” 的 “ 源 ” 中 ,“ 源 IP 


对 象 ”选择 "地址 1”, 其 他 保持 默认 配置 。 


(24) 单 击 “ 策 略 条 件 ”一 栏 的 “目的 ”按钮 ,“ 目 的 TP 对 象 ”选择 “地 址 2", 其 他 保持 黑 


i BC. 


(25) 单 击 “ 策 略 条 件 ” 一 栏 的 “应 用 ”按钮 ,“ 应 用 对 和 象 ” 选 择 appl ,其 他 保持 默认 配置 。 

(26) 单 击 “ 策 略 条 件 ” 一 栏 的 “动作 ”按钮 ,选择 “操作 ”下 的 “接受 ”选项 。 

(27) 单 击 "确定 ?按钮 ,返回 到 "安全 策略 ?界面 ,可 见 成 功 增 加 的 安全 策略 。 

(28) 选择 界面 左 侧 导 航 芒 中 的 "管理 ”一 "全 局 配置 ? 沫 单 命令 。 

(29) 在 “全 局 配置 "界面 ,确保 “日 志 记 录 开 关 ” 的 所 有 选项 都 处 于 ON 状态 ,其 他 保 
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图 4-17 打开 安全 策略 


持 默认 配置 。 
(30) 单 击 “确定 "按钮 ,你 存 配置 。 单 击 " 全 局 配置 ?上 方 导 航 栏 中 的 “全 局 开关 ”。 
(3D) 在 "全 局 开关 ?看 面 ,你 证 "流量 统计 史 歌 认 包 人 梨 略 交 日 志 聚 合 功 能 ”的 所 有 选项 
都 处 于 ON 状态 ,其 他 保持 默认 配置 。 
(32) 单 击 “ 确 定 ” 按 钮 ,你 存 配 置 ,配置 完 毕 。 
【实验 预期 】 


在 IPS 中 可 见 PC 访问 的 流量 数据 。 


【实验 结果 了 
COD 登录 实验 平台 右 侧 的 74CMS 虚拟 机 ,进入 PC, 如 图 4-18 所 示 。 


110.10.1.1/24 


GE3 172.16.1.1/24 f 


74CMS(Web]fl $5 23) : 


* 4 
PCI : 172.16.1.100/24 110.10.1.100/24 


管理 机 : 10.0.0.22 
4-18 登录 实验 平台 右 侧 的 74CMS 虚拟 机 
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(2) 双击 虚拟 机 任务 栏 最 右 侧 的 FTP 服务 程序 图 标 , 如 图 4-19 Bron. 
(3) 在 弹出 的 软件 界面 中 ,确保 “权限 ”一 柱 中 的 "下载 文件 “上 传 文件 “删除 文件 ” 
“文件 改名 ”新 建 目录 ” 均 选 中 ,同时 选中 “开机 启动 ”, 如 图 4-20 所 示 。 


服务 端口 [i 最 大 连接 水 [100 
共享 目录 | Ed 


图 4-19 ”双击 FTP 服务 程序 图 标 图 4-20 ”设置 参数 


(4) 登录 实验 平台 对 应 实验 拓扑 左 侧 的 PCI 虚拟 机 ,如 图 4-21 所 示 。 


110.10.1.124 [| = 
CX) — 
Ns mm 


7ACMS(Web]li $5 23) : 
110.10.1.100/24 


GE3 172.16.1.1/24 


PCI : 172.16.1.100/24 


管理 机 ，10.0.0.22 
图 4-21 登录 左 侧 的 PCI 虚拟 机 


(5) Æ PCI 虚拟 机 中 ,访问 Web RRI ir, ME R MEK Mozilla Firefox, 打 开火 狐 
DI UEM 

C6) 在 火狐 浏览 器 的 地 址 栏 中 输入 110.10.1.100 后 按 Enter 键 , 成 功 访问 到 Web 服 
务 器 ,如 图 4-22 所 示 。 

C) 访问 FTP 服务 器 。 双 击 昔 面 上 的 “我 的 电脑 ”。 

(8) 在 地 址 栏 中 输入 ftp: //110.10.1.100 后 按 Enter 键 ,成 功 访 问 FTP 服务 器 ,如 
图 4-23 所 示 。 

(9) 发 送 ICMP 数据 包 。 选 择 "“ 开 始 ?” 一 ”命令 提示 符 ? 沫 单 命 令 。 

(10) 在 “命令 提示 符 ” 界 面 中 输入 命令 ping 110.10.1.100 JE f£ Enter 键 ,成 功 向 服务 
端 发 送 ICMP 数据 包 。 

(11) 在 管理 机 中 打开 浏览 器 ,在 地 址 栏 中 输入 入 侵 防 御 系 统 产 品 的 IP. 地 址 
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O 自动 登录 


好 招聘 好 工作 


启用 己 作 帐号 登录 
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我 也 要 出 现在 这 里 AA Th 


图 4-22 访问 Web 服务 器 


Ey ftp://110. 10.1.100/ 
THD AHE EF 0U 收藏 以) IAM 和 才 助 (XH) 


Qa- O- B Derer prr E 


E Internet Explorer 


(D) 我 的 文档 
站 共享 文档 
«J HESE i ... CONFIG. STS FIPServwe... 


图 4-23 成 功 访问 FTP ARI A 


https://10.0.0.1( 以 实际 设备 IP 地 址 为 准 ) ,进入 人 侵 防 御 系 统 的 登录 界面 。 输 入 管理 
员 用 户 名 admin MEI !1fw(22soc £z 3vpn 登录 人 侵 防 御 系 统 。 选 择 面 板 上 方 导 航 栏 中 
Hg" np qi" —" ite dude dan. 4-24 所 示 。 

(12) 在 "流量 监控 ?界面 ,可 见 Ge0/0/1 有 发 送 和 接收 流量 记录 ,此 接口 用 于 管理 员 
登录 IPS 设备 ,如 图 4-25 Bron. 

(13) 单 击 “流量 监控 ”面板 上 方 导航 栏 中 的 “应 用 统计 ”, 可 见 目 前 耗 用 流量 的 应 用 ， 
如 图 4-26 所 示 。 

(14) 下 拉 浏 览 磺 界面 ,可 见 流量 分 布 图 ,可 知 当 前 HTTP 流量 很 多 ,网 页 浏览 耗 用 
的 流量 最 多 ,如 图 4-27 所 示 。 

(15) 单 击 "流量 监控 ?面板 上 方 导 航 栏 中 的 “接口 统计 ” .可见 当 前 Geo/0/2 和 Ge0/ 
0/3 的 流量 数据 ,如 图 4-28 所 示 。 
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| 业务 分 析 
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图 4-25 “流量 监控 ”界面 


EE EM | o düHER AE pie 20D) -| | E | Su | Ec NR 
deis, TEES FERES 
TT 
ES mE RARWERNUS. A7 
HERE | 下 行 流量 | ceunbg: sx | COMPRHUREGSEE | HELM | FROBGUE | FALTES | CHNDRGECLEX mnpueeISeGe , GSE 
网 页 浏 监 26.86 KB  22461KB 61.11 bps 511.12 bps 148 234 0.0 pps 0.1 pps Er FALSE LUCR. 
FIPÉHE  Z70KE 21B5KB G15 bps 49.77 bps 45 ag 0.0 pps 0.0 pps 
FIPERE] — 746 KB — 1018 KB 16.07 bps 21.16 bps 120 112 0.0 pps 0.0 pps 
ICMP D36 Bytes — 935 Bytes 2.08 bps 2.08 bps 12 12 心口 pps Dy pps 
ARP ODO Bytes — 800 Bytes 2.00 bps 1.78 bps 18 16 0.0 pps 0.0 pps 


««»»[n)[w [1e 


4-26 “应 用 统计 ”界面 
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图 4-28 “接口 统计 ”界面 


【实验 思考 】 
请 思考 ,ARP 应 用 流量 是 怎么 产生 的 ? 
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4.3 入 侵 防 御 系 统 事 件 监 控 实 验 
【实验 目的 】 


入 侵 防 御 系 统 通 过 事件 监控 ,对 检测 初 的 入 侵 事 件 根据 不 同时 间 段 进行 统计 显示 ,用 
于 统计 和 分 析 入 侵 防 御 系 统 的 安全 威胁 。 


【知识 点 】 
SQL 注入 .DDoSs .资源 对 象 .策略 对 象 .安全 策略 。 
[5 2 18 3 ] 


A 公司 收 到 下 发 的 安全 威胁 通告 ,内 容 为 近期 网 络 攻击 事件 预计 会 有 爆发 的 趋势 。 
张 经 理 要 求 安全 运 维 工程 师 小 王 对 入 侵 防御 系统 收集 到 的 各 类 事件 进行 汇总 ,小 王 需要 
使 用 入 侵 防御 系统 中 的 事件 监控 功能 汇总 和 分 析 各 类 事件 数据 ,请 思考 应 如 何 配置 和 分 
析 入 侵 防 御 系 统 的 事件 监控 数据 。 


【实验 原理 】 


事件 监控 可 以 对 检测 出 的 入侵 事件 根据 历时 一 小 时 、 一 天 、 一 周 .一 个 月 进行 统计 显 
7R ,也 可 以 根据 攻击 类 型 .攻击 来 源 、 攻 击 目 标 以 及 攻击 特征 等 条 件 统计 攻击 前 5 的 饼 图 ， 
还 可 根据 事件 等 级 进行 统计 。 通 过 攻击 类 型 柱状 图 可 以 清晰 显示 各 类 攻击 事件 在 历时 中 
的 攻击 次 数 , 也 可 以 通过 IPS 事件 列表 了 解 评 细 的 攻击 信息 。 用 户 可 根据 查询 条 件 对 
IPS 事件 列表 信息 进行 目 定 义 查 询 , 包 括 时 间 、 事 件 名 称 、 事件 级 别 、 攻 击 类 别 、 源 和 目的 
地 址 、 源 和 目的 问 口 、 协 议 、 动 作 以 及 事件 ID 等 多 种 查询 条 件 。 


【实验 设备 】 


安全 设备 : SecIPS 3600 入 侵 防 御 系 统 设备 1 S. 
网 络 设备 ; 路 由 天 do. 
EPL m: Windows 2003 SP2 主机 1 台 ,Kali 2.0 主机 1 台 ,Windows 7 主机 1 名 


【实验 拓扑 】 
入 侵 防 御 系 统 事件 监控 实验 拓扑 图 如 图 4-29 Bron. 
【实验 思路 】 


(D 配置 桥接 口 。 
(2) 配置 网 络 接口 。 
(3) Bü E HE EXT Ae. 
(4) 配置 安全 策略 。 

157 


exe 入 侵 检测 与 入 侵 防御 实验 指导 | 


172.16.8.1/2 Eshop(Web 服 务 器 ): 
172.16.8.100/24 


Kail 2.0 : 
110.69.70.100/24 


管理 机 ，10.0.0.22 
图 4-29 ”人 入侵 防御 系统 事件 监控 实验 拓扑 图 


(5) 配置 取证 设置 
(6) 外 网 用 户 对 内 网 服务 右 进 行 Web 


[3:3 27 D 


C) 在 管理 机 中 打开 训 览 疮 ,在 地 址 栏 中 输入 入侵 防御 系统 产品 的 IP 地 址 https:// 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ), 进 入 入 侵 防御 系统 的 登录 界面 。 输 入 管理 员 用 户 名 
admin 4I ZZ fid ! 1£5w(22soc € 3vpn 登录 人 侵 防 御 系 统 。 

(2) 单 击 “登录 ?按钮 ,会 弹出 修改 出 广 原始 密码 的 提示 框 , 单 击 “ 取 消 ” 按 钮 。 

(3) 单 击 “取消 ?按钮 登录 入 侵 防 御 系 统 设备 后 ,会 显示 入 侵 防 御 系 统 的 面板 界面 。 

(4) 选择 界面 上 方 导航 栏 中 的 ”网络 网 络 接口 ? 沫 单 命令 。 

(5) 在 "网络 接口 ?界面 , 单 击 "逻辑 桥接 口 ? 的 “十 ”按钮 增加 桥接 口 。 

(6) 在 “编辑 逻辑 桥接 口 ? 界 面 , 输 入 “桥接 口 ID? 为 1, 选中 “启用 桥接 口 ?,“ 绑 定 接 
[L1 "3t £&£*Ge0/0/2.Ge0/0/3", 

(7) 单 击 “确定 ?按钮 ,返回 到 "网 络 接口 ?界面 ,可 见 成 功 增 加 的 桥接 口 。 

(8) 在 “网 络 接口 ?界面 ,双击 "以太 网 接口 ?的 Geo/0/2, 

(9) 在 “编辑 以 太 网 接口 ”界面 ,“ 流 统计 标识 ”选择 outside, 其 他 保持 默认 配置 。 

(10) 单 击 "确定 ?按钮 ,返回 到 "网 络 接口 ?界面 ,再 双击 “以 太 网 接口 ?的 Ge0/0/3, 在 
弹出 的 “编辑 以 太 网 接口 "界面 中 ,“ 流 统计 标识 ”选择 inside, 其 他 保持 默认 配置 。 

(11) 单 击 “ 确 定 ” 按 钮 ,返回 到 “网 络 接口 ”界面 ,可 见 配置 成 功 的 以 太 网 接口 。 

(12) 选择 面板 上 方 导航 栏 中 的 “资源 ”> “资源 对 象 ” 菜 单 命令 ,显示 当前 的 资源 列表 。 

(13) 在 “资源 对 象 * 界 面 , 单 击 “ 地 址 对 象 ” 的 “十 ”按钮 增加 地 址 对 象 。 

(14) 在 “地 址 对 象 维 护 ” 界 面 ,在 “名称 ”一 栏 中 输入 any,; 在 “地 址 ”一 栏 中 选择 “网 
Ex". FUE BS IP 地 址 输入 0.0.0.0, 掩 人 码 输 入 0.0.0.0, 其 他 保持 默认 配置 。 

(15) 单 击 “确定 ”按钮 ,返回 到 “资源 对 象 * 界 面 ,可 见 添加 的 any 地 址 对 象 。 

(160 选择 “资源 >“ 策略 对 象 ” 菜 单 命令 ,显示 “策略 对 象 * 界 面 ,如 图 4-30 所 示 。 

(17) 单 击 “ 策 略 对 象 ” 界 面 中 的 “入 侵 特征 对 象 ” 标 签 页 ,和 人 侵 防 御 系 统 默 认 预 置 了 7 


洞 扫描 ,入 侵 防 御 系 统 对 此 事件 进行 统计 。 
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| NGIPS 
E325 ES 


图 4-30 JE A RKI AR 


个 模板 ,本 实验 使 用 默认 的 ips 模板 。 

(18) 选择 界面 上 方 导航 栏 中 的 “策略 ”>“ 安 全 策略 ”菜单 命令 ,显示 当前 的 安全 策略 
列表 。 

(19) 在 “安全 策略 ”界面 , 单 击 “安全 策略 ”的 “十 ”按钮 增加 安全 策略 。 

(20) 在 弹出 的 "新建 策略 ”界面 中 ,“ 策 略 名 称 ” 输 入 scan, 在 “策略 条 件 ” 一 栏 的 “ 源 ” 
标签 页 中 ,“ 源 IP 对 象 ” 选 择 any ,其 他 保持 默认 配置 。 

(21) 单 击 “策略 条 件 ” 一 栏 的 “目的 ?标签 页 “目的 IP 对 象 ” 选 择 any, 其 他 保持 默认 
配置 。 

(22) 单 击 “策略 条 件 ? 一 栏 的 “安全 业务 ?标签 页 “人 侵 防 护 ?选择 ips. 

(23) 单 击 “策略 条 件 ? 一 栏 的 “动作 ”标签 页 ,选择 “操作 ”下 的 “接受 ?选项 。 

(24) 单 击 “ 确 定 ” 按 钮 ,返回 到 “安全 策略 "界面, 可见 成 功 添加 的 安全 策略 。 

(25) 在 局 用 防护 策略 之 前 ,需要 开启 人 侵 防 御 系 统 的 数据 日 志 , 以 便 进 行 数据 统计 。 
选择 界面 上 方 导航 栏 中 的 “管理 ”>“ 全 局 配置 ”菜单 命令 。 

(26) 在 “全 局 配置 "界面 ,确保 “日 志 记 录 开 关 ” 的 所 有 选项 都 处 于 ON 状态 ,其 他 保 
持 默认 配置 。 

(27) 单 击 “确定 ?按钮 ,保存 配置 。 再 单 击 "全 局 配置 一 栏 中 的 "全 局 开关 ”标签 页 。 

(28) 在 “全 局 开关 ”界面 ,保证 “流量 统计 ”“ 默 认 包 策略 “全 局 开关 ”日 志 聚 合 功能 ” 
“本 地 端口 扫描 检测 ”的 所 有 选项 ,以 及 “安全 策略 ”中 的 “日 志 聚 合 开 启 ”、“ 应 用 识别 ”中 的 
“应 用 识别 ”都 处 于 ON 状态 ,其 他 保持 默认 配置 。 

(29) 单 击 “确定 ”按钮 后 ,再 单 击 右上 角 的 磁盘 按钮 ,保存 当前 设置 ,如 图 4-31 所 示 。 


图 4-31 保存 设置 


(30) 单 击 磁 盘 按 钮 后 ,弹出 “配置 保存 成 功 ” 的 窗口 。 
(31) 至 此 ,人 人 侵 防 御 系 统 基本 设置 完成 。 
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【实验 预期 


(1) 外 网 用 户 访问 内 网 服务 硕 网 页 可 正 篆 访问 。 
(2) 外 网 用 户 发 起 Web 漏洞 扫描 ,入侵 防御 系统 对 扫描 事件 进行 统计 ,并 在 "事件 监 
Te" A B rp RA e. 


【实验 结 采 】 


1. 外 网 用 户 访 问 内 网 服务 颖 网 页 可 正常 访问 
d) 登录 实验 平台 对 应 实验 拓扑 左 侧 标 红 框 的 Kali 2.0 虚拟 机 ,如 图 4-32 所 示 。 


172.16.8.1/24 Eshop(Web 服 务 器 ): 
172.16.8.100/24 


Kail 2.0 : 
110.69.70.100/24 


管理 机 : 10.0.0.22 
图 4-32 登录 左 侧 的 Kali 2.0 虚拟 机 


(2) ffs Mg ULL sé: ré FP Ze du] T. BUES R BS DER DU] Vd Dope 7J 3X «32 11 UK IL DX E AF » UI d 
时 间 未 登录 ,有 顷 输 入 密 公 123456 CH] P 44 2J root) 登 录 系 统 , 如 图 4-33 Bron . 


160 4-33 运行 冰 融 浏览 串 


Hl . RHR S d d R TIE IE K 


命令 


Ao 
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(3) 在 浏览 右 的 地 址 柱 中 输入 内 网 服务 兹 的 IP 地 址 172.16.8.100 ,可 正 
,如 图 4-34 所 示 。 


应 用 程序 ~ 位置 ~ 三 00 :35 


网 奇 .NET 商 城 系 统 v5.5--Powear By wqEshop - Iceweasel 
C 网 奇 .NET 商 城 系 统 v5... x 


$ E 0 172.16.8100 


E Most Visited Y llorensive Security À Kali Linux *&. Kali Docs $ Kali Tools ilea DB W Aircrack- -ng 


网 奇 ESHOP 商 城 购物 系统 他 


| WwwWwW.Wdqeshop.com 


品 分 类 | 精品 推荐 | 最 新 商品 | 打折 商品 | 热 销 商品 | 报价 中 心 | 新 闻 中 心 | 帮助 中 心 | 留言 薄 


+ BisrEshop 5.5 版 隆重 出 炉 
+ 网 奇 Eshop 5.55 ERE HH HP 
+ 网 奇 Eshop 5.5 PREER HP 
+ 出奇 Eshop 5.5 hi PER HAP 
+ RIEEshop 5.5 BR EEH 
+ RIiEshop 5.5 BR IRER HUP 
+ RIEjiEshop 5.5 hR PER H^ 


e o 物品 数量 :0 
购 e 共计 :0.00 


: ~ 进入 购物 车 


时 时 [2.13.45 [678 
k | 
1 


P 


图 4-34  yUilul B ar P] va. 


商品 分 类 


b 


PROQUCT CATEGORIES 


- - 品牌 女装 …- 
早春 新 装 | 伴娘 礼服 
HRR a | Mie 

- - 花样 美 包 -- 
OLE S | GEFA 
情侣 饰品 | GUES5 新 款 包 

-- 美容 化 妆 …- 
美 肤 新 品 | 眼 部 护理 
祛斑 防晒 | 防 敏感 

. 品牌 数码 . 

三 星 | 诺基亚 
摩托 罗拉 | RERNE 


2. JJ FH FA Ae Web 漏洞 扫 朱 ,入侵 防御 系统 对 扫描 事件 进行 统计 并 在 


“事件 监 


监控 ?界面 中 显示 相关 信息 
CD 返回 Kali 2.0 虚拟 机 桌面 ,选择 左上 角 的 ” 


,运行 Nikto 软件 ,如 图 4-35 所 示 。 


IELITE 


- 漏洞 分 析 
)3 - Web 程 序 
- 数据 库 评 估 软 件 
- 密码 攻击 
j- EAE 
- 逆向 工程 
8 - 漏洞 利用 工具 集 
9 - DRE HX 
- 权限 维持 
- 数字 取证 
- 报告 工具 集 
13 - 系统 服务 


常用 程序 


位置” | 


(o AM T 
b S 


图 4-35 


oi golismero 


lynis 


nikto 


nmap 


openvas initial setup 


openvas start 


openvas stop 


unix-privesc-check 


运行 Nikto 软件 


Té 1] A, De] Dd 


应 用 程序 ”漏洞 分 析 ”-~nikto 3# 
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(2) 在 弹出 的 命令 行 界面 中 输入 命令 “nikto -h 172.16.8.100 -T 9". 3& Ho ds ils] TH 385 H 
标 是 内 网 服务 天 IP 地 址 172.16.8.100,- 工 表明 扫描 选项 ,9 代表 扫描 选项 中 的 SQL 注入 
(可 使 用 nikto -H 查看 详细 信息 ) ,如 图 4-36 所 示 。 


root®@ kali: ^ 
文件 (F) 编辑 (E) 查看 (V) 搜索 (5) 终端 (T) 帮助 (H) 


Host authentication to use, format is id: pass or id:p 


ass: realm 
- List- plugins List all available plugins 
- output* Write output to this file 
2-1! Force ssl mode on port 
- Tuning* Scan tuning 


- timeout* Timeout for requests (default 10 seconds) 
- update Update databases and plugins from CIRT. net 
- Version Print plugin and database versions 
- vhost* Virtual host {for Host header) 
+ requires a value 


Note: This is the short help output. Use -H for full help text. 


rootækali: =# 


图 4-36 运行 Nikto 扫描 漏洞 


(3) 按 Enter 键 ,Nikto 开始 扫描 ,在 扫描 过 程 显示 当前 网 站 的 漏洞 信息 ,如 图 4-37 
所 示 。 


文件 (F) 编辑 (E) 查看 (V) 搜索 (5) 终端 (TD) 帮助 (H) 
rootü&kali:-£& nikto -h 172.16.8.100 -T 9 
- Mikto v2.1.6 


Target IPF: 2.16. 8.100 
- Target Hostname: .16. 8. 100 

Target Port: 

start Time: 


Server: Microsoft- I1S/6.0 
Cookie 172. 16. 8. 100Resource created without the httponly flag 
- Cookie ASP.NET Sessionld created without the httponly flag 
Ret rieved De OSD ECCO header: 5.0 Pub 
+ Retrieved x- aspnet-version header: 1.1.4322 
Retrieved x-powered-by header: ASP. NET 
- The anti-clickjacking X-Frame-Üptions header is not present. 
The X- XSS- Protection header is not defined. This header can hint to the user agent to protect against some for 


ms of XSS 


Uncommon header ' microsoftofficewebserver found, with contents: 5.0 Pub 
t The X- Content- Type- Options header is not set. This could allow the user agent tO render the content of the sit 
e in a different fashion to the MIME type 

OSVDB- 397: HTTP method 'PUT' allows clients to save files on the web server. 
- OSVDB- 5646: HTTP method 'DELETE' allows clients to delete files on the web server. 

Retrieved dasl header: <DAYV: sgql> 

Retrieved dav header: D 

Retrieved ms- author-wia header: MS- FP/s 4. 0, DAW 

Uncommon header ' ms- author- via found, with contents: MS-FP/4.0, DAV 

Allowed HTTP Methods: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIMD, PROPPATCH, LO 
CK, UNLOCK, SEARCH 
+ OÜSVDB- 5646: HTTP method ('Allow' Header): 'DELETE' may allow clients to remove files on the web server. 
+ OSVDB-397: HTTP method (' AT lad Header): 'PUT' method could allow clients to save files on the web server. 
+ OSVDB- 5647: HTTP method {(' Allow Header]: 'MOVE' may allow clients to change file locations on the web server. 
+ Public HTTP Methods: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOC 
K, UNLOCK, SEARCH 
+ OSVDB- 5646: HTTP method ('Public' Header): 'DELETE may allow clients to remove files on the web server. 
+ OSVDB- 397: HTTP method ('Public' Header]: 'PUT' method could allow clients to save files on the web server. 
+ ÜSVDB- 5647: HTTP method ('Public' Header): 'MOVE may allow clients to change file locations on the web server 国 


图 4-37 扫描 到 的 服务 器 信息 


(4) 扫描 完成 后 (需要 运行 一 段 时 间 , 约 8 分 钟 ) ,显示 所 有 的 扫描 结果 ,并 恢复 到 命 
令 行 状 态 ,如 图 4-38 所 示 。 
(5) 在 管理 机 中 打开 浏览 右 , 在 地 址 栏 中 输入 入 侵 防 御 系 统 产 品 的 IP 地 址 https:// 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ), 进 入 入 侵 防 御 系 统 的 登录 界面 。 输 入 管理 员 用 户 名 
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应 用 程序 ~ ”位 置 ~ -终端 > 四 00 : 01 


文件 (F) 编辑 (E) 查看 (V) ERS) 终端 (TD) 帮助 (H) 
Start Time: 2018-01-24 23: 54:13 {GMT8) 


Microsoft- IIS/6. 0 
ma. 172. 16. 8. 100Resource created without the httponly flag 
Cookie ASP.NET SessionId created without the httponly flag 
Hetrieved Da header: mE 
Retrieved x-aspnet-version header: 1. 1.432 
Retrieved x-powered-by header: ASP. NET 
Ic anti- MN. X- Frame- 0Options header is not present. 
X- X55- Protection header is not defined. This header can hint to the user agent to protect against some for 


+ Uncommon header 'microsoftofficewebserver' found, with contents: 5.0 Pub 
THÈ X-Content-Type-Options header is not set. This could allow the user agent to render the content of the sit 
in a different fashion to the MIME type 
Retrieved dasl header: «DAV: sql» 
Retrieved daw header: D: 
Retrieved ms- author-wia header: MS-FP/4. 0, DAV 
Uncommon header ' ms- aUthor- via found, with contents: MS- FP/4. 0, DAV 
Allowed HTTP Methods: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LO 
K, UNLOCK, SEARCH 
REM 5646: HTTP method (' Allow Header): 'DELETE' may allow clients to remove files on the web server. 

SVDE- 397: HTTP method (Allow Header): ' PUT) method could allow clients to save files on the web server. 
SEL. HTTP method ('Allow Header: 'MOVE' may allow clients to change file locations on the web server. 
Public HTTP Methods: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOC 

UNLOCK, SEARCH 

OSVDB- 5646: HTTP method ('Public' Header): 'DELETE may allow clients to remove files on the web server. 

ÜSVDB- 397: HTTP method ('Public' Header): 'PUT' method could allow clients to save files on the web server. 
OSVDB- 5647: HTTP method ('Public' Header): 'MOVE' may allow clients to change file locations on the web server 


(D 


O+ + + + + 


t+ +A +t +++ 


WebDAV enabled (PROPFIMD SEARCH LOCK UNLOCK PROPPATCH COPY MKCOL listed as allowed) 
+ ERROR: Error limit (20) reached for host, giving up. Last error: opening stream: can't connect (timeout): 操作 
现在 正在 进行 
* Scan terminated: 19 error(s) and 22 item(s) reported on remote host 
+ End Time: 2018-01-25 00:01:45 ( GMT8) (452 seconds) 


图 4-38 Nikto 汤 洞 扫描 完成 


admin FA !15w(22soc € 3vpn 登录 入 侵 防 御 系 统 , 可 见 已 发 现 与 漏洞 扫描 相关 的 信 
息 , 如 图 4-39 NE 


OLITBIO LIN DOR E 


227 FE kims 


ARRE BinToFS 


图 4-39 入 侵 防 御 信 息 提 示 


(6) 选择 “可 视 ” 一 “事件 监控 ”菜单 命令 ,进入 事件 监控 界面 ,如 图 4-40 所 示 。 


[I [i 二 


171.23 Kbps 


图 4-40 ”访问 事件 监控 
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(7) 在 “事件 监控 ”界面 的 “IPS 事件 ”标签 页 中 ,可 见 入 侵 防 御 系 统 已 抓 取 的 “事件 排 
行事 件 级 别 “ 攻 击 类 型 统计 ”相关 统计 ,如 图 4-41 所 示 。 


FHT | omammurs ~ ja | 时 间 | 


直击 类 型 蚁 计 时 间 


TESNI 
45 


4-41 事件 监控 信息 


(8) "IPS 事件 列表 ”界面 中 显示 了 相关 事件 的 具体 信息 ,如 图 4-42 Bron. 


MM il ULLAM m^ 
DS-OTHER Bash Cl 
201 B04 B. 11:30:50 3197B ermironmentwariable injection — re IE Ted 110:10.1 100 172.16.9.100 59369 I : DXEC:CD-da:a6. C5 0219:33:10 11.8E 
alterpt 
SERVER-WEBAFP IBH 


201 BiD4rl B 11:24: 5B 1BT42 WebSphere Especi header +E Eb 11 0.10.1 100 172.15.B.1üü0 53332 : üz Ecco da: 35:8 0219:33:36 11:8E 


rrass-slte ertipting 


图 4-42 下 载 对 应 的 数据 包 


(9) 单 击 其 中 任意 一 个 事件 的 “特征 ID” ,显示 相关 事件 的 摘 述 信息 ,如 图 4-43 MR 


GNU Bash CVUE-2014-5271 Remote Coda Executian Vilar lity 
Con denilality Efect: COMPLETE Iniggriy impact: COMPLETE Availabilite Im pact COMPLETE 


GHL Bash ihrough 3.3 processes balling strings alter funcban definidans in the values gf ermi nonmen waria blas, which 
allows remate atackers to execute arbrirarr code wia a crated envirnnmani, as damonsiraiad by va ctors imobing tha 
FürceCcomrmand festure in OpenSSH shd, tme mor cgi and mod_egid modules in tha Apache HTTP Sarvar, seriple 
execuled by unsperified DIHICP clients, and other situations in whlch seting he environment occurs across a prisileg e 
boundary fom Bash execution, aka "EnellEnack " NOTE: the original Th fnr fale issue was incorrect; CvE-2014-7169 has 


been assigned bo towar the vulnersbilitethat is aill present after tva Inpomectfiz 


cpafa:gnubash:1.14.E GH Gourne-Again SHellbash [GhL Bash] 1.1 4.8 cpaa:gnu:bash:1.1 4.7 Ghi Baurna-Again 


BHallbash (HU Bash 1.14.7 cpeJa.gnubashez D1.1 GPL Biaurme-Sgain SHellbash (GMU Bashi 3.01 .1 


Epe:fa:gnurbash: 2.02.1 GNU Bnurne-Argain &Hellbash (SWU Bash) 2.02.1 cpe-fa:xgnubias h:1.1 4.2 GNU Baurne-Agaln 


EHellhiash SHU Bash) 1 14.2 epedJa.gnuc bash? 14.3 GNU Breurmme-Anesin SHellbash (GMO Bash] 1.14.3 


图 4-43 事件 的 描述 信息 


(10) 在 “IPS 事件 列表 ”一 栏 中 , 单 击 “ 查 询 ” 按 钮 ,可 查询 指定 的 内 容 信 息 , 如 图 4-44 
所 示 。 
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IP exe Ld 
WED THS i E EIH : ; 1 RMAC IHME 


ü&s-O THER Bash Chl 


2016046 11:30:50 , LU 5]aTB  erwranmenlbwvariable injection EX 118.104. 10D 172.16.58.100 ÜUz ECCO 4B 35:05 üz213:33:3—11:8E 


allermpl 
SEREWVER-MEBAPP IBk 


2016046 11:24:58 ü 18742 WebSphere Expect header PREDS 110.1 0.1.1400 172.16.98.100 i D2 ECCO AB 35:8 ü2313:33:3—11:8E 


biase-slte srriplinm 


图 4-44 单 击 “查询 ”按钮 


(11) 在 弹出 的 “查询 ”界面 中 ,“ 事 件 级 别 ” 勾 选中 度 攻击 ”, “攻击 类 别 ” 选 中 “全 选 ”， 
如 图 4-45 所 示 。 


EX | |a C BER | 
事件 级 别 Oer Orat [] 高 度 攻 Aeee pem [ ga 
x Exuh eies V BIRDS M SQL 注入 攻击 ”加 路 站 脚本 攻击 ”加 内 容 过 湾 。 蔬 femukss Mwens Z 木马 攻击 


M BENKE M 拒绝 服务 攻击 [Mi finger 服 务 攻 击 ” 半 Ator M ESE M 远程 访问 ”也 安全 扫描 M 闻 并 软件 攻击 


T 0 day 攻 击 M 潜在 威胁 

源 地 址 ^| B | [asm X |0.].]RB| | 
目的 地 址 M| jaf | BWO 从 | IET | 
特征 ID 


动作 E accept E| drop 


图 4-45 HIENA M 


(12) 单 击 “确定 ”按钮 ,“IPS RIR” FA d o og ved BJ DES E Al 4-46 所 示 。 


luis E Toad: ci 
时 站 TRIPE FD Epai FER] [iyi Be = 目的 WG 
DE-DTHER Bash CGI 
2013/48 11:30:50 pem: 31870 — enunmeriwanshleinjeetinm PEt 110.101.1100 172.16.9.1D0 59369 3g ÜXEC:CI-4B:08.CH D2150:313C:T:BE 
ettempt 
BERVER-INEBAPP IBM 


iD18m48 11:23:58 18742 Websphere Enpect header HAE 110.1 0.1.1000 172.1B.8.1 DD 55331 üzEc:CID BB D2:15:33:307 11: 5E 


crosa-sie scripting 


图 4-46 IPS 事件 列表 


(13) BRETT fiti ue Je nT38 1 H xg ALE VU ZR TEE TE E ARTE BU SETESE IJ CSV 格式 
的 文件 用 于 分 析 。 单 击 “IPS 事件 列表 "一 栏 中 的 "导出 ?按钮 ,准备 导出 事件 信息 ,如 图 4-47 
所 示 。 


mUeHESI 源 地 址 Epiat 


REMA 110.654.70.1 00 172.168100 : [ 52-54 4XEAES8-15 52-54: [Cx] BE 


图 4-47 导出 事件 信息 


(14) 在 弹出 的 “导出 ”界面 中 , 义 选 “事件 级 别 ” 中 的 “中 度 攻 击 ”,“ 攻 击 类 别 ” 选 中 “全 
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选 ”, 如 图 4-48 所 示 。 


起 始 时 间 从 | E | | seem | | 
JHIA ét OFERE O Ex [I 中 度 攻击 Dd O SRR 


wha | 图 王选 


[Wi ta [wf has [wf 目录 扫描 [W389L 注 六 攻 击 M BARER M 内容 过 沁 MERRE WM YWeb 扫 描 [Wi 木马 攻击 


RZ 自 定义 攻击 ”区 拒 扳 服务 攻击 ”区 fngedRAbikcb [v 协 说 分析 ”区 EEE VORGE VEAS A 间 谍 软 件 攻击 
dayi ETER 

从 | EI ELSE El | 

从 | E | | BET 从 | 到 | | 

[] TCP (jUDP g cP 


| | 


C] accept [ | drop 


图 4-48 设置 导出 参数 


(15) 设置 导出 参数 后 , 单 击 “ 确 定 ” 按 钮 设置 文件 保存 的 位 置 即 可 。 本 实验 内 容 不 包 
含 对 CSV 文件 的 数据 分 析 , 仅 展示 导出 过 程 , 如 图 4-49 所 示 。 


ZEIN): 
REFAN): | Microsoft Excel 逗号 分 隔 值 文件 m 


^ Neid | 
图 4-49 保存 导出 文件 


(160 本 实验 以 Web 漏洞 扫描 引起 的 IPS 事件 演示 ,在 “事件 监控 ”界面 中 除 “IPS 事 
件 ” 外 ,还 包括 "AV 事件 ”“ 挂 马 事 件 ”“ 文 件 控制 “数据 防护 “URL 过 滤 ”“ 区 域 事件 统 
计 ”“DNS 监控 ”DDoS 抗 攻击 统计 ”等 多 项 事件 ,可 结合 诬 程 中 的 其 他 实验 ,对 相关 内 容 
进行 统计 分 析 。 
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(17) 入 侵 防 御 系 统 实现 了 对 汤 洞 扫描 等 事件 信息 的 统计 分 析 , 并 通过 图 形 化 界面 显 
示 相 关 信 息 和 具体 数据 内 容 , 满 足 实验 预期 。 


【实验 思考 】 
在 事件 监控 中 ,是否 所 有 事件 均 可 导出 文件 进行 分 析 ? 


4 4 入 侵 防 御 系 统 会 话 监控 实验 


【实验 目的 】 


管理 员 通过 对 入 侵 防 御 系 统 的 接口 IP、 静 态 路 由 进行 配置 ,实现 监控 登录 入 侵 防御 
系统 设备 的 会 话 信息 。 


【知识 点 了 


会 话 监控 。 
[5 2 $8 3] 
A 公司 的 安全 运 维 工程 师 小 王 日 常 巡 检 中 ,需要 查看 通过 入 侵 防 御 设备 上 网 并 建立 


连接 的 会 话 信 息 , 了解 日 常 网 络 的 运行 状态 ,请 思考 应 如 何 监控 人 侵 防 御 系 统 中 获取 的 会 
话 信 息 。 

【实验 原理 】 

入 侵 防 御 系 统 的 会 话 列 表 中 显示 所 有 用 户 通 过 应 用 IPS 上 网 并 已 经 建立 连接 的 会 话 
信息 。 应 用 IPS 管理 员 可 随时 查看 成 功 建立 会 话 的 源 地 址 .协议 .目的 地 址 、 源 端口 和 目 
的 端口 等 信息 ,实现 对 应 用 IPS 的 实时 监控 。 

【实验 设备 】 

安全 设备 : SecIPS 3600 入 侵 防 御 系 统 设备 1 台 

网 络 设 备 : 中 由 大 DG 

EHL m: Windows XP SP3 主机 1 台 ,Windows 7 XEBL 1 $., 

【实验 拓扑 】 

人 人 侵 防 御 系 统 会 话 监 控 实 验 拓扑 图 如 图 4-50 所 示 。 


PC: 172.16.1.1/24 | XE GEI : 110.0.0.1 


WXPSP3 . 172.16.1.100/24 | 管理 机 10.0.0.22 
图 4-50 ”人 侵 防 御 系 统 会 话 监 探 实验 拓扑 图 
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【实验 思路 】 


CD 增加 接口 IP. 
(2) 增加 静态 路 由 。 


【实验 步骤 】 


(1) 在 管理 机 中 打开 训 览 硕 » TE HET h y A A ft D 48 3 67^ im HJ. IP 地 址 https:// 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ) ,进入 入 侵 防 御 系 统 的 登录 界面 。 输 入 管理 员 用 户 名 
admin AI ZZ fid ! 15w(22soc € 3vpn 登录 人 侵 防 御 系 统 。 

(2) 当 弹 出 修改 密 公 的 窗口 时 , 单 击 “ 取 消 ” 按 钮 。 

(3) 登录 入 侵 防 御 系 统 设备 后 ,会 显示 入 侵 防 御 系 统 的 面板 界面 。 

(4) 选择 界面 上 方 导 航 栏 中 的 “网 络 ”>“ 网 络 接口 ”六 单 命令 。 

(5) 在 "网络 接口 ”界面 中 , 单 击 “ 接 口 IP", 

(6) 单 击 “ 网 络 接口 "界面 中 “接口 IP” 的 “十 ”按钮 ,增加 接口 IP. 

(7) 在 “接口 IP 维护 ”界面 中 ,“ 接 口 IP” 选 择 Ge0/0/2,“IP 地 址 ”输入 110.10.1.100， 
“ 掩 码 ” 选 择 255.255.255.0, 其 他 保持 默认 配置 。 

(8) 单 击 “ 确 定 ” 按 钮 ,成 功 增加 接口 IP, 如 图 4-51 Bron. 


Itc c 
10.040.17255.255 255.0 
5 "n 


图 4-51 成 功 增 加 接口 IP 


(9) 选择 界面 上 方 导航 栏 中 的 网络” 一 “路 由 ”菜单 命令 。 
(10) 在 “路 由 ”界面 中 , 单 击 “静态 路 由 ”, 如 图 4-52 Brzn , 


10.0 0.055 355 255 0 


110.10.1.0/255.255 255. 


图 4-52 打开 静态 路 由 


(11) 在 "静态 路 由 ”界面 中 , 单 击 “ 十 ?按钮 增加 静态 路 由 。 

(12) 在 “静态 路 由 维护 ”界面 中 ,“ 目 的 地 址 ”输入 0.0.0.0. “HE” YE € 0.0.0.0. * IP 地 
址 ”输入 110.10.1.1, 单 击 右 侧 的 “添加 ”按钮 。 

(13) IP 地 址 被 添加 到 “下 一 跳 ” 中 ， 

dA) 单 击 “确定 ”按钮 ,成 功 添 加 静态 路 由 。 选 择 面 板 左 侧 导 航 栏 中 的 “管理 ”一 “全 
MEE KEME. 
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(150 在 “全 局 配置 "界面 中 ,确保 “日 志 记 录 开 关 ” 的 所 有 选项 部 处 于 ON 状态 ,其 他 
保持 默认 配置 。 

(16) 单 击 “ 确 定 ? 按 钮 ,保存 配置 。 单 击 “ 全 局 配置 ”上 方 导 航 栏 中 的 “全 局 开关 ”。 

(17) 在 “全 局 开关 ”界面 中 ,保证 “流量 统计 六 默认 包 策 略 六 日 志 聚 合 功能 ”的 所 有 选 
项 都 处 于 ON 状态 ,其 他 保持 默认 配置 。 

(18) 单 击 “确定 ”按钮 ,保存 配置 ,配置 完毕 。 


IPS 记录 有 PC 访问 它 的 数据 。 
【实验 结果 】 
CD 登录 实验 平台 对 应 实验 拓扑 左 侧 的 WXPSP3 虚拟 机 ,进入 PC, 如 图 4-53 所 示 。 


PC: 172.16.1.1/24 GEI : 110.0.0.1 


WXPSP3. 172.16.1.100/24 管理 机 : 10.0.0.22 
图 4-53 ”登录 左 侧 的 WXPSP3 虚拟 机 


(2) 在 WXPSP3 虚拟 机 中 ,双击 Mozilla Firefox 打开 火狐 浏览 器 。 
(3) 在 地 址 栏 中 输入 https://110.10.1.100 后 按 Enter 键 ,如 果 没 有 显示 入 侵 防 御 系 
统 的 登录 界面 ,而 是 显示 “您 的 连接 不 安全 ”, 则 需要 在 显示 的 界面 中 单 击 “高 级 ”按钮 ,如 
图 4-54 所 示 。 
TF AmE 查看 名 ”历史 愉 ) 书签 包 ) 工具 (I) 帮助 出) 


d 不 安全 的 连接 


您 的 连接 不 安全 


110.10.1.100 的 管理 员 未 正确 配置 网 站 。 xn suyo. Firefox 
iH EuS ARNE. 


详细 了 解 … 


| 报告 此 类 错误 以 帮助 Mozilla 识别 和 拦截 恶意 站 点 


图 4-54 连接 设备 
(4) FANI A Ae A , 单 击 “添加 例外 ?按钮 ,如 图 4-55 所 示 。 
(5) 在 弹出 的 “添加 安全 例外 ”界面 中 , 单 击 “确认 安全 例外 ”按钮 ,允许 链接 ,如 图 4-56 


所 示 。 
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MAZIE | Ey e E gp SE 3 8 E 


LFD RET EZY PRO PEO IAO #HY 


d. 不 安全 的 连接 


€ (D https: //110. 10. 1. 100 


报告 此 类 错误 以 帮助 Mozilla FAIT ATE 


110. 10. 1. 100 使 用 了 无 效 的 安全 证 书 。 


该 证 书 因 为 其 需 皮 者 证 书 未 知 而 不 被 信任 。 
迟 服 务 硬 可 能 未 皮 送 相应 的 中 | 加 让 书 。 
AREF A TRARRE. 

该 证 书 对 名 称 110.10.1.100 ÆR 


HEIE[CRA: SEC ERROR UNENOWN ISSUER 


图 4-55 Aih“ s PT Tn 


m PA 


A ERIBE Firefox 如 何 来 标识 此 站 点 。 
A S 合法 的 银行 、 电 商 以 及 其 他 公共 站 点 不 会 要 求 和 你 如 此 操作 - 


服务 器 


‘tps /i110, 10. 1. 100/ 获 职 证 书 (6) 


此 站 点 尝试 使 用 无 效 的 信息 来 标识 目 身 ，。 
FRAJA 


证 书 属于 其 他 网 站 ， 有 可 能 是 某 人 起 要 伪装 成 此 网 站 ， 
未 知 标识 


因 当 无 法 确 惟 此 证 书 是 由 受信 性 的 皮 行 机 构 以 实 全 的 方式 葡 夏 ， 所 以 无 法 信人 性 此 证 书 。 


永久 保存 此 例外 Œ) 


图 4-56 单 击 “确认 安全 例外 ”按钮 


(6) 页 面 成 功 跳 转 到 IPS 设备 登录 界面 ,输入 账号 admin 和 和 密 公 11fw(@2soc# 3vpn 
后 按 Enter 键 登录 ,如 图 4-57 所 示 。 

(7) 当 弹 出 修改 密码 的 窗口 时 , 单 击 “ 了 取消” 按钮 ,如 图 4-58 Bron. 

(8) 页 面 跳 转 到 IPS 的 面板 界面 ,如 图 4-59 所 示 。 

(9) 选择 面板 上 方 导 航 栏 中 的 "可 视 ” 一 会话 监 控 ? 沫 单 命 令 , 如 图 4-60 Brzn. 

(10) 在 “会 话 监控 ?界面 中 ,可 见 PC 访问 IPS 设备 的 记录 ,如 图 4-61 Brzn. 


【实验 思考 】 


请 思考 ,静态 路 由 的 “目的 地 址 ”可 以 配置 成 具体 的 TP 吗 ? 
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https: //110. 10. 1. 100/ 


| tO 8. https: //110. 10. 1. 100 


$93 中 文 


| 


图 4-57 登录 设备 


Bu EZ] 初始 密 信 ,为 了 保障 系统 安全 ， 建议 您 


修改 初始 密 俯 ， 请 确认 是 百 修改 ! 


AIBESSBEIOPS 


FkasedFs 1500 AREA 


=  DOOOOOODOXXO 2208 
VSOODHOTDPOORDOS2RUT-HR 流量 向 存 健 用 窜 : — HT total:2 16G used: 1.81 8 
! OCIB30FBR2ASOAAD ———À— —— — ——] TOSE 45 
1028 FRAPPA: 75.654 iotal:3. EB G uzadi: 2.90 G Bat a5 
——— — —— UDSR n 


AS 11:2049 BESLÍTDRÜBFEXE- 0 DA — tetalo45B 45 G used] 190.14 W à; 
NATAS D 


CHAES 
CPLR 16 


图 4-59 ”IPS 面板 界面 
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| NGIPS 
AREMARK 


NIZAM) Ey AAR E p E Hm i8 E 


Fy | Bu 


li:i 
tep 


etr 


1 0.0.0.7 
172.161.100 
IE2AET 3 
172.151 1 


1721611 
1711611 


171161100 


isti 


10.0.0.22 
172.16.1.100 
TT? 48.1 100 
1728.1. 1060 
172.15.1.100 
172.16.1.100 
17216.1100 


10.0.0.1 
110.1Q.1.100 
110.101100 
110.101400 
110.10.71.100 
110.101100 
110.101.100 


110.10.1.100 
110.101.100 
110.10.1.100 
110.10.1.100 
110.10.1100 
110.10.1.100 


10.001 
11010.1.100 
i1010.1.100 
i1010.1.100 


110.10.1.100 
110.10.1.100 


11010.1.100 


图 4-60 ”打开 会 话 监控 


110.10.1.100 
110.10.14.100 
i110.10.1.100 
110.10.1.100 
110.10.14.100 
110.10.14.100 


172.161.100 


172.165.1.1 00 
172.481.100 
172.1 B.1.1 00 
172.1 5.1.1 00 
{72.10.1100 
172.186.1.1 00 


ü 
ü 
1 
ü 
ü 
ü 
ü 
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45 — 入侵 防御 系统 报表 管理 实验 


【实验 目的 】 

入 侵 防御 系统 将 收集 到 的 各 种 事件 进 和 
【知识 点 】 

报表 、DDoS、 策 略 对 象 . 安 全 策略 。 
[5:18 5) 


A 公司 的 张 经 理 要 求 安全 运 维 工 程 师 小 王 定 期 对 入 侵 防 御 系统 收集 到 的 各 类 事件 
进行 汇总 分 析 , 用 于 优化 公司 信息 系统 的 安全 设置 。 小 王 需要 使 用 入 侵 防 御 系统 中 的 可 
视 功能 汇总 和 分 析 各 类 数据 ,请 思考 应 如 何 配置 和 分 析 入 侵 防御 系统 的 可 视 化 数据 ， 


【实验 原理 】 


通过 手动 生成 报表 可 以 自 定义 设置 报表 内 容 、 报 表 生 成 类 型 以 及 报表 文件 类 型 。 报 
表 内 容 包 括 IPS 事件 .AV 事件 、 挂 马 事 件 、.URL 过 滤 、 文 件 控制 .数据 防护 、.DNS 防护 、 
DDoS 攻击 。 报 表 生 成 类 型 包括 日 报 、 周 报 、 月 报 以 及 自 定义 时 间 的 报表 。 通 过 报表 生成 
历史 记录 可 以 查看 生成 报表 的 详细 信息 ,可 查看 是 否 生 成 成 功 ,可 对 生成 的 报表 进行 预 
览 . 导出、 删除 以 及 使 用 邮件 发 送 (最 多 可 同时 配置 3 个 收 件 人 )。 
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第 4 章 入 侵 检 测 与 入 侵 防 御 系 统 数 据 分 析 


【实验 设备 】 

安全 设备 : SecIPS 3600 入 侵 防 御 系 统 设 备 1 台 。 

网 络 设备 : 路 由 1 f. 

EHL m: Windows 2003 SP2 主机 1 台 ,Windows XP 主机 1 台 ,Windows 7 主机 
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【实验 拓扑 】 
入 侵 防 御 系 统 报 表 管 理 实验 拓扑 图 如 图 4-62 所 示 。 


| 172.16.8.1/24 Eshop( Web] 45 28) : 
Kail 2.0 . | 172.16.8.100/24 
110.69.70.100/24 : mM 


管理 机 : 10.0.0.22 
图 4-62 入 侵 防 御 系 统 报 表 管 理 实 验 拓扑 图 


【实验 思路 】 


d) 配置 桥接 口 。 

(2) 配置 网 络 接口 。 

(3) 配置 地 址 对 象 。 

(4) 配置 安全 策略 。 

(5) 外 网 用 户 发 起 DoS 攻击 ,入 侵 防 御 系 统 记 录 攻 击 事 件 。 
(6) 生成 当日 报表 文件 ,并 查看 相关 攻击 事件 。 


[ 3:9 27 3] 


CD 在 管理 机 中 打开 浏览 器 ,在 地 址 栏 中 输入 入 侵 防御 系统 产品 的 IP 地 址 https:// 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ), 进 入 入 侵 防 御 系 统 的 登录 界面 。 输入 管理 员 用 户 名 
admin 和 密码 11fw(@2soc#3vpn 登录 入 侵 防 御 系 统 。 单 击 “ 登 录 ” 按 钮 后 ,会 弹出 修改 出 
三原 始 密 码 的 提示 框 , 单 击 “ 了 取消” 按钮 。 

(2) 登录 入 侵 防 御 系 统 设备 后 ,会 显示 入 侵 防 御 系 统 的 面板 界面 。 

(3) 选择 界面 上 方 导航 栏 中 的 “网 络 ”>“ 网 络 接口 "菜单 命令 。 

(4) 在 “网 络 接口 ”界面 , 单 击 “ 逻 辑 桥 接口 ”的 “十 ”按钮 增加 桥接 口 。 
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,输入 “桥接 口 ID” 为 1, 选 中 “局 用 桥接 口 *,“ 绑 定 接 


(5) 在 “编辑 逻辑 桥接 口 ? 界 面 
口 ” 选 择 “Ge0/0/2,Ge0/0/3”。 

(6) 单 击 “ 确 定 ” 按 钮 ,返回 到 “网 络 接口 ”界面 ,可 见 成 功 增加 的 桥接 口 。 

(7) 在 “网 络 接口 ”界面 ,双击 “以 太 网 接口 ”的 Ge0/0/2, 

(8) 在 “编辑 以 太 网 接口 ?界面 ， 流 统计 标识 ?选择 outside, 其 他 保持 默认 配置 。 

(9) 单 击 "确定 ?按钮 ,返回 到 “网 络 接口 ?界面 ,再 双击 “以太 网 接口 ?的 Ge0/073 ,在 
弹出 的 “编辑 以 太 网 接口 ?界面 中 ， 流 统计 标识 ?选择 inside, 其 他 保持 默认 配置 。 

do) 单 击 “确定 ?按钮 ,返回 到 “网 络 接口 ?界面 ,可 见 配 置 成 功 的 以 太 网 接口 。 

(11) 选择 面板 上 方 导航 栏 中 的 “资源 ”>“ 资 源 对 象 ” 菜 单 命令 ,显示 当前 的 资源 列表 。 

(12) 在 “资源 对 象 * 界 面 中 , 单 击 “ 地 址 对 和 象 ”? 的 “十 ”按钮 ,增加 地 址 对 和 象 ,如 图 4-63 
所 示 。 


次 置地 址 对 油 . HEHUETISRESE 
tag Titi, 


i 2, RRES | 
&I—i dE EIS. 


设置 地 址 油 , MERERRASTRE | 
utinam | 


设置 权重 地 址 . 权重 地 址 的 尾 | 
性 包含 了 一 个 或 一 段 Ipibtt 以 | 
及 地 址 的 权 坚 什 . 

al & 


IBEISESEEDEIE GS VMEEIUT 
eh 


VMEG TUR S Eri zT SERIO 
= 来 ， 用 于 去 本 第 略 或 ACL 使 
M oW » M 15 "| |10 -[1je 


TT 
设置 动态 地 址 集合 组 ， 动 志 地 
址 扰 合 组 的 属性 包 舍 了 一 个 或 | 
£^ spite n, 


图 4-63 ”增加 地 址 对 象 


(13) 在 “地 址 对 象 维 护 ? 界 面 中 ,在 “名 称 ” 一 栏 中 输入 any, 在 “地 址 ?一 栏 中 选择 “网 
Ec". FUE RS IP 地 址 输入 0.0.0.0, 掩 码 输入 0.0.0.0 ,其他 保持 默认 配置 。 

(14) 单 击 “确定 ”按钮 ,返回 到 “资源 对 象 * 界 面 ,可 见 添加 的 any 地 址 对 象 。 

(15) 单 击 “ 资 源 对 象 ” 面 板 中 的 ACL 标签 页 ,在 ACL 界面 中 单 击 “十 ”按钮 ,增加 
ACL 对 象 。 

(16) Æ ACL 界面 中 ，ACL 名 称 ” 输 入 syn, “IP 地 址 ”一 栏 中 ,“ 源 地 址 ”选择 “地 址 
对 象 ” ,下方 的 “地 址 对 象 ” 中 选择 any,“ 目 的 地 址 ”也 选择 “地址 对 象 ”, 下 方 的 “地 址 对 象 ” 
中 选择 any, 其 他 保持 默认 配置 。 

(17) 单 击 “确定 ?按钮 ,返回 到 ACL 界面 ,可 见 成 功 添加 的 ACL 对 象 。 

(18) FEA — RRR AR KEMA S. ENCARTA. 

(19) 单 击 “策略 对 象 ?界面 中 的 “入侵 特 征 对 象 " 标 签 页 ,和 人 侵 防御 系统 默认 预 置 7 个 
模板 ,本 实验 使 用 其 中 的 ips 模板 。 

(20) 选择 上 方 导 航 栏 中 的 “策略 ?一 ”安全 策略 ?” 沫 单 命令 ,显示 当前 的 安全 策略 
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列表 。 

(21) 在 “安全 策略 ”界面 中 , 单 击 “ 安 全 策略 ”的 “十 ”按钮 增加 安全 策略 。 

(22) 在 弹出 的 “新 建 策略 ”界面 中 ,“ 寅 略 名 称 ” 输 入 normal, 在 “策略 条 件 ” 一 柱 的 
“ 源 ” 标 签 页 中 ,“ 源 IP 对 象 ” 选 择 any, 其 他 保持 默认 配置 。 

(23) 单 击 “ 策 略 条 件 ? 一 栏 的 “目的 ?标签 页 “目的 IP 对象” 选择 any, 其 他 保持 默认 
配置 。 

(24) 单 击 “策略 条 件 ? 一 栏 的 “安全 业务 ?标签 页 “和 人 侵 防 护 ? 选 择 ips。 

(25) 单 击 “策略 条 件 ? 一 栏 的 “动作 ”标签 页 ,选择 “操作 ”下 的 “接受 ?选项 。 

(26) 单 击 "确定 ?按钮 ,返回 到 "安全 策略 ”界面 ,可 见 成 功 添加 的 安全 策略 。 

(27) 在 启用 防护 策略 之 前 ,需要 开启 人 侵 防 御 系 统 的 数据 日 志 , 以 便 进 行 数据 统计 。 
选择 界面 上 方 导航 栏 中 的 “管理 ”>“ 全 局 配置 ”菜单 命令 。 

(28) 在 “全 局 配置 ”界面 中 ,确保 “日 志 记 录 开 关 ” 的 所 有 选项 都 处 于 ON 状态 ,其 他 
保持 默认 配置 。 

(29) 单 击 “确定 ?按钮 ,保存 配置 ,再 单 击 “全 局 配置 > 一 栏 中 的 “全 局 开关 ”标签 页 。 

(30) 在 “全 局 开关 ”界面 中 ,保证 “流量 统计 ”“ 上 默认 包 策 略 ”“ 全 局 开关 ”日 志 聚 合 功 
能 “本 地 端口 扫描 检测 ”的 所 有 选项 ,以 及 “安全 策略 ”中 的 “日 志 聚 合 开启 ”、“ 应 用 识别 ” 
中 的 “应 用 识别 ?都 处 于 ON 状态 ,其 他 保持 默认 配置 。 

(31) 单 击 “确定 ”按钮 ,保存 全 局 配置 设置 。 选 择 上 方 导航 栏 中 的 “策略 ”一 “DDoS Dj 
护 ” 菜 单 命令 ,显示 当前 的 DDoS 设置 信息 。 

(32) 在 “DDoS 防护 ”界面 中 , 单 击 “ 基 于 ACL 防护 ”标签 页 ,显示 当前 的 洪水 防护 规 
则 列表 。 

(33) 单 击 “ 洪 水 防护 规则 ”一 栏 中 的 “十 ”按钮 ,添加 洪水 防护 规则 。 

(34) 在 弹出 的 “洪水 防护 规则 ”界面 中 ,ACL 选择 之 前 步骤 添加 的 ACL 对 和 象 syn, 

(35) 选中 “SYN 洪水 ”, 再 选择 “统计 选项 *， 统 计 方 式 ? 选 择 " 人 代理?>，“ 国 值 ? 输 入 10。 

(36) 单 击 “ 确 定 ” 按 钮 ,返回 “DDoS 防护 ?界面 ,可 见 添加 的 洪水 防护 规则 。 

(37) 单 击 上 方 导航 栏 中 右上 角 的 磁盘 按钮 ,保存 当前 配置 ,如 图 4-64 所 示 。 


(38) 单 击 磁盘 按钮 ,会 弹出 "配置 剑 存 成 功 ” 的 按钮 。 
(39) 至 此 ,入 侵 防 御 系 统 基 本 设置 完成 。 


【实验 预期 了 
(1) 外 网 用 户 可 正常 访问 内 网 服务 器 网 页 。 
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(2) 外 网 用 户 发 起 SYN Flood 攻击 ,人 侵 防 御 系 统 对 攻击 行为 进行 防御 。 
(3) 生成 当日 报表 ,其 中 包含 的 攻击 信息 数据 用 于 分 析 。 


【实验 结果 】 


1. 外 网 用 户 可 正常 访问 内 网 服务 器 网 页 
(1) 登录 实验 平台 对 应 实验 拓扑 左 侧 标 红 框 的 Kali 2.0 虚拟 机 ,如 图 4-65 所 示 。 


172.16.8.1/24 


Eshop(Web 服 务 am): 
110.69.70.100/24 172.16.8.100/24 


管理 机 . 10.0.0.22 
图 4-65 登录 左 侧 的 Kali 2.0 虚拟 机 


(2) 单 击 虚拟 机 桌面 中 左 侧 工 具 栏 中 的 冰 风 浏览 器 快捷 方式 ,运行 冰 抽 浏览 妖 , 如 长 
时 间 未 登录 , 须 输 入 密码 123456( 用 户 名 为 roo 登录 系统 。 

(3) 在 浏览 右 的 地 址 栏 中 输入 内 网 服务 兹 的 IP 地 址 172.16.8.100, 可 正常 浏览 网 页 
信息 ,表明 服务 器 及 网 络 工作 正常 ,如 图 4-66 所 示 。 


招聘 信息 微 招 聘 求职 信息 HR 工具 箱 新 闻 资 讯 会 员 中 心 Aie 


当前 位 置 : 网 站 首页 


”搜索 职位 企业 总 数 : 0 有 效 职位 : 0 有 效 简历 : 0 会 员 总 数 : 0 G 发布 招聘 区 填写 简历 


最 近 更 新 职位 。 写字 楼 搜索 职位 || 公告 。 ”新 手 上 路 。 最 新 资讯 


道路 搜索 职位 。 按 标 签 搜 索 职 位 


图 4-66 ”访问 服务 兹 网 页 


2. 外 网 用 户 发 起 SYN Flood 攻击 ,入 侵 防 御 系 统 对 攻击 行为 进行 防御 

(1) 单 击 虚拟 机 时 面 中 左 侧 工具 栏 中 的 命令 行 快捷 方式 ,进入 命令 行 界面 ,如 图 4-67 
所 示 。 

(2) 在 命令 行 界面 输入 命令 “hping3 -S -a 1.1.1.1 —flood -V 172.16.8.100”, 表 示 发 送 
伪造 IP 来 源 为 1.1.1.1 的 SYN 数据 包 , 目标 为 内 网 服务 融 的 IP 地址 172.16.8.100, 如 
图 4-68 所 示 。 

(3) FÈ Enter 键 ,hping3 程序 将 开始 发 起 SYN Flood 攻击 ,需要 攻击 程序 运行 1 分 钟 
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应 用 程序 ”位置 ~ 


root@kali: ~ 
X FEE) HN) 查看 (V) 搜索 (S) 终端 (T) 帮助 (H) 
rooi -# hping3 -S -a 1.1. 1. 1 --flood -V 172. 16. 8. 100 


图 4-68 输入 攻击 命令 
左右 ,以 便 入 侵 防 御 系 统 生成 攻击 日 志 信 息 , 如 图 4-69 所 示 。 


root@kali: ~ 
文件 (F) 编辑 (E) 查看 (V) 搜索 (S) 终端 (T) 帮助 (H) 
root&kali:-4 hping3 -S -a 1.1.1.1 -- flood -V 172. 16. 8. 100 
using ethO, addr: 110. 69. 70. 100, MIU: 1500 
HPING 172. 16. 8. 100 (eth0 172. 16. 8. 100): 5 set 


, 40 headers + 0 data bytes 
hping in flood mode, no replies will be shown 


图 4-69 发 起 SYN Flood 攻击 


3. 生成 当日 报表 ,其 中 包含 的 攻击 信息 数据 用 于 分 析 

CD 在 管理 机 中 打开 浏 览 需 ,在 地 址 栏 中 输入 人 侵 防 御 系 统 产 品 的 JP 地 址 https:// 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ) ,进入 人 侵 防 御 系统 的 登录 界面 。 输 入 管理 员 用 户 和 名 
admin MÆ !1£w(22soc € 3vpn 登录 入侵 防御 系统 。 选 择 上 方 导 航 栏 中 的 “可 视 ” 一 “ 报 
表 ” 菜 单 命令 ,如 图 4-70 所 示 。 


NGIPS 
人 人 侵 防御 系统 


图 4-70 进入 报表 界面 
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(2) 在 “报表 ”和 寞 面 , 可 在 "报表 条 件 ?” 中 选择 生成 报表 包含 的 内 容 . 报 表 类 型 .报表 文 
件 拓 型 等 选项 ,如 图 4-71 Bron 


wP Eav O Eat E unte E 


w RoE DE Tr 


= ETT E) HTML. E CSV 


IPSELETOPIN 5 


图 4-71 报表 界面 


(3) 在 “报表 条 件 ” 界 面 , 勾 选 其 中 的 “IPS 事件 ”DDoS,“ 报 表 类 型 ”选择 “生成 日 报 ”， 
“报表 文件 类 型 ”选中 PDF ,其 他 参数 不 变 , 如 图 4-72 所 示 。 


报表 内 容 M irp B ava E 挂 马 事件 国 uR O 文件 控制 ” 国 数据 防护 E DNS M DDoS 
报表 类 型 (D 生成 日 报 C» 生成 周报 C) 生成 月 报 CO 措 定时 间 报 表 
PEE MPF BT 国 HTML 国 CSV 


图 4-72 设置 报表 参数 


(4) 设置 完成 后 , 单 击 “ 生 成 报表 ”按钮 ,下 方 会 显示 报表 文件 相关 信息 ,如 图 4-73 
Bio. 


ESAS M Pes DATH O zd E URHE E mtes O aA EONS Ef CDs 


HE*BED (EEE DETE D 生成 月 拒 DE EE 


iE HEP FDF |] TXT 国 


IPSSEETETOPEIN 5 


2018/01/24 1452:6 2018/01723 145206 atr eor fae 14525 


图 4-73 生成 报表 


(5) 报表 生成 完成 后 ,会 在 下 方 的 “报表 生成 历史 记录 ”中 查看 相关 的 状态 ,并 可 查 
阅 、 下 载 , 如 图 4-74 所 示 。 


BEE KH 控告 起 结 时 间 报告 毕 率 时 间 


2018501/24 14:52:16 201B/DH /23 14:52:18 Mad 13:52:16 


图 4-74 报表 生成 列表 
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(6) 单 击 该 报表 右 侧 “动作 ” 列 中 的 放大 镜 图 标 , 可 在 线 查 看 报表 内 容 ,如 图 4-75 
所 示 。 


e18/01/24 1452716 2018,[n /23 14:52:16 eo18/01/24 14:52:16 


图 4-75 查看 报表 内 容 


CD 在 浏览 硕 中 会 打开 生成 的 PDF 文件 ,首页 列 出 了 了 当前 人 侵 防 御 系 统 的 相关 信 
息 ,如 图 4-76 所 示 。 


报告 类 型 日 报表 
报告 人 admin 
报告 生成 时 间 2018/01/24 14:52:16 
统计 起 始 时 间 2018/01/23 14:52:16 
sit 4 iE SE [s] 2018/01/24 14:52:16 


设备 名 称 Sec IPS3600 

设备 类 型 Sec IPS3600 

软件 鼠 本 V500H0 10P003D032B18 - HR 

软件 SN 号 5505196935 

IPS 特 征 库 版 本 1.0.2.8 

AVETE Be iC 1.0.0.50 

挂 马 特征 库 版 本 1.0.0.10 

3& fT i8] fa] (d:3h:55m:20s[14120 seconds | 


图 4-76 首页 中 当前 人 人 侵 防 御 系 统 的 相关 信息 


(8) 后 续 页 面 显 示 此 次 SYN Flood 攻击 的 数据 信息 可 用 于 分 析 , 在 报表 内 容 中 ,可 
见 源 地 址 IP 为 外 网 发 起 SYN Flood 攻击 时 使 用 的 伪造 源 IP 地 址 1.1.1.1, 以 及 使 用 的 源 
端口 列表 信息 ,如 图 4-77 所 示 。 

(9) 人 侵 防 御 系 统 实现 对 SYN Flood 攻击 的 信息 汇总 ,并 在 报表 文件 中 体现 相关 的 
内 容 信 息 ,满足 实验 预期 。 


(1) 如 需 报 表 目 动 发 送 , 应 如 何 配置 相关 设置 ? 
(2) 报表 内 容 中 的 类 型 主要 涉及 入 侵 防 御 系 统 的 哪些 功能 ? 
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网 入 信息 技 术 [ 北 京 ) 股 份 有 限 公司 


LIKE S: d: S64 
DDOS I xf E it TOPSO0 
| Wübit 。 Hec 
| LLLI 37814 
Lull 2392 
L111 38244 
LEE 61940 
LLi1 49145 
L 1.1.1 30947 
| LLi1 gas 
L111 4720 
LlLl 63735 
LLLI 24494 
1.1.1.1 64813 
1.1.1.1 9297 
Llll 17552 
141,1 45478 
l dedal 26340 
L111 2450 
LLLI 60048 
LLLI 53062 
[TP 15592 
11.1.1 64865 
Lili 34319 
1.1.1.1 52074 
LLil 28900 
LLLI 61006 
LLII 12168 
LLLI E271 
1,1.1,1 65138 
LLLI 219 
Llll 49245 
L111 49308 
Lili 64814 
LLLI 26530 
LLLI 26314 
Li1i1 32290 
LLLI 22064 
LLLI 45528 
LLLI 5345 
LLRI semi 
LLLI 33606 
1.1.1.1 16930 
LLLI 61155 
L111 48023 
Liil 5068 
LLLI 64417 
L111 55623 
1.1.1.1 B527 
PI 64027 
Ld 3578 
Lili 31389 
LLLI 16745 
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【实验 目的 】 


入 侵 防 御 系 统 通 过 从 指定 的 接口 镜像 攻击 报 文 ,形成 取证 数据 包 , 实 现 对 流 经 和信 侵 防 
御 系 统 攻击 数据 的 取证 。 


【知识 点 】 


| 


目的 地 址 
172. 165. 8. 100 
172, 16, & 100 
172, 15, 8, 100 
172. 16. 8, 100 
174 16. &. 100 
172. 16. &, 100 
172. 16. &. 100 
172. 16. 8, 100 
172, 16. &, 100 
ITA 16. 8 100 
172, 18, &, 100 
172, 16, 8. 100 
172. 18, &, 100 
172, 16. 8. 100 
172, 16, &, 100 
172, 16. 8. 100 
172. 16. 8. 100 
172, 16. &, 100 
172. 156. S. 100 
172, 18, 8, 100 
172, 16.8. 100 
172. 16. 8, 100 
172. 16. &. 100 
172, 16, &, 100 
172, 16. 8. 100 
172. 16. &, 100 
172, 16. &, 100 
172. 16. 8. 100 
172, 18, &, 100 
172, 16, 8, 100 
172. 18, & 100 
172. 16, 8, 100 
172. 16. 8. 100 
172, 16,8. 100 
172. 156. &, 100 
172, 16. 8. 100 
172. 16. S. 100 
172, 16. &, 100 
172. 165. 8. 100 
172, 16, & 100 
172, 16, &. 100 
172, 18. 8, 100 
172. 16. &. 100 
172. 16. &, 100 
172, 16,8. 100 
172. 16, 8, 100 
172, 16, &, 100 
172. 16. &, 100 
172, 18, &, 100 
172. 16. 8. 100 


图 4-77 


EH 
g 
O 


dddddddddddddddddddddddddddddddddddddddddddddddddds 
ETZSSEZSZZ?STZZSZZTZZSSZZ?ZSIE?ZTESETTS?SPTTSPSTZTPZT?ZPTE 
- 


报表 中 关于 SYN Flood 的 内 容 


SQL 注入 .资源 对 象 .策略 对 象 .安全 策略 。 


2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2019/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2012/01/24 14h 
2018/01/24 14h 
2019/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
2018/01/24 14h 
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事件 统计 报表 
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[52 18 35] 

A A ri] B3) Ped 26 38 388 Ah ed E 2j B t 2C dg «29 RIA A BJ 5i As. 9x T7 (TH SUA, o3 322: [8] [8 
络 安 全 管理 部 门 提 供 墨 客 攻击 的 证 据 , 安 全 运 维 工程 师 小 王 需要 使 用 人 侵 防 御 系 统 的 事 
件 取 证 功能 ,将 墨客 攻击 的 证 据 保 留 下 来 。 请 思考 应 如 何 对 黑客 攻击 行为 进行 取证 。 

【实验 原理 】 

攻击 取证 的 作用 是 把 攻击 报 文 从 指定 的 接口 镜像 出 来 ,并 在 入 侵 防御 系统 中 保存 相 
关 的 攻击 报 文 ,通过 分 析 攻 击 报 文 获取 攻击 的 方法 和 来 源 , 用 于 取证 分 析 。 攻 击 报 文采 样 
率 是 每 到 指定 数量 的 攻击 报 文 时 镜像 一 个 报 文 到 取证 接口 。 

【实验 设备 】 

安全 设备 : SecIPS 3600 人 侵 防 御 系 统 设备 1 台 。 

网 络 设备 : PHAR 1 g. 

EHL m: Windows 2003 SP2 主机 1 £r. Kali 2.0 主机 1 人 台 ,Windows 7 主机 1 人 台 。 

【实验 拓扑 】 

入 侵 防 御 系 统 事 件 取 证 实验 拓扑 图 如 图 4-78 Bron. 


Kail 2.0 ; HI : : 
110.10.1.100/24 T 172.16.8.100/24 


管理 机 : 10.0.0.22 
图 4-78 ”入侵 防御 系统 事件 取证 实验 拓扑 图 


【实验 思路 】 


(OD 配置 桥接 口 。 
(2) 配置 网 络 接口 。 
(3) 配置 地 址 对 象 。 
(4) 配置 安全 策略 。 
(5) 配置 取证 设置 。 
(6) 外 网 用 户 SQL 注入 攻击 ,对 此 次 攻击 事件 进行 取证 。 
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C) 下 载 保存 的 取证 数据 包 用 于 数据 分 析 。 

ETEA? 

(1) TET EPP FA N E zi TE H HE T P i A A SET RES m HJ IP 地址 https: // 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ) ,进入 人 侵 防 御 系 统 的 登录 界面 。 输 入 管理 员 用 户 名 
admin 和 密码 11fw(@2soc# 3vpn 登录 人 侵 防 御 系 统 。 

(2) 单 击 “ 登 录 ” 按 钮 后 ,会 弹出 修改 出 厂 原 始 密码 的 提示 框 , 单 击 “取消 ”按钮 。 

(3) 单 击 “取消 ”按钮 登录 到 入 侵 防 御 系 统 设备 后 ,会 显示 入 侵 防 御 系 统 的 面板 界面 。 

(4) 选择 界面 上 方 导 航 栏 中 的 “网 络 ”>“ 网 络 接口 ” 亲 单 命令 。 

(5) 在 “网 络 接口 ”界面 , 单 击 “ 人 逻辑 桥接 口 ” 的 “十 ”按钮 增加 桥接 口 。 

(6) 在 “编辑 逻辑 桥接 口 ?界面 ,输入 “桥接 口 ID 为 1, 选中 "局 用 桥接 口 ?>，“ 绑 定 接 
口 ” 选 择 “Ge0/0/2,Ge0/0/3”。 

(7) 单 击 “确定 ”按钮 ,返回 到 “网 络 接口 界面, 可见 成 功 增加 的 桥接 口 。 

(8) 在 “网 络 接口 ”界面 ,双击 “以 太 网 接口 ”的 Ge0/0/2。 

(9) 在 “编辑 以 太 网 接口 ”界面 ,“ 流 统计 标识 ”选择 outside, 其 他 保持 默认 配置 。 

(10) 单 击 “ 确 定 ” 按 钮 ,返回 到 “网 络 接口 ”界面 ,再 双击 “以 太 网 接口 ”的 Ge0/0/3, 在 
弹出 的 “编辑 以 太 网 接口 "界面 中 ,“ 流 统计 标识 ”选择 inside, 其 他 保持 默认 配置 。 

(11) 单 击 “ 确 定 ” 按 钮 ,返回 到 “网 络 接口 "界面 ,可 见 配 置 成 功 的 以 太 网 接口 。 

(12) 选择 面板 上 方 导航 柱 中 的 “资源 ”一 “ 帝 源 对 象 ”* 菜 单 命令 ,显示 当前 的 资源 
列表 。 

(13) 在 “资源 对 象 ” 界 面 , 单 击 “ 地 址 对 象 ”? 的 “十 ”按钮 增加 地 址 对 象 。 

(14) 在 "地址 对 象 维 护 ” 界 面 ,在 “名称 ”一 栏 中 输入 any,; 在 "地址 ”一 栏 中 选择 “网 
Er”. FARAJ IP 地 址 输入 0.0.0.0, 掩 人 码 输 入 0.0.0.0, 其 他 保持 默认 配置 。 

(15) 单 击 “ 确 定 ” 按 钮 ,返回 到 “资源 对 象 * 界 面 ,可 见 添加 的 any 地 址 对 象 。 

(160 选择 “资源 ”>“ 末 上 略 对 象 ” 菜 单 命令 ,显示 “ 寅 略 对 象 ” 界 面 ,如 图 4-79 所 示 。 


| NGIPS 
A EMIRA 


| |f |f | Ii 各 本 对 党 
st La AA ALLEE 


F - 


图 4-79 进入 策略 对 象 


(17) 单 击 “ 腿 略 对 和 月 "界面 中 的 ”和 人 侵 特征 对 象 ?标签 页 ,人 侵 防 御 系 统 默认 预 置 7 个 

(18) EA SE LES P A "TRE 9" E ACE K E m IR. os 2À BU BU c AR NR 
列表 。 

(190 在 “安全 束 略 "界面 , 单 击 “安全 上 略 ” 的 “十 ”按钮 增加 安全 案 略 。 
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(20) 在 弹出 的 "新建 策略 ”界面 ,“ 寅 略 名 称 ” 输 入 sqlinj ,在 “策略 条 件 ” 一 栏 的 “ 源 ” 标 
签 页 中 ,“ 源 IP 对 象 ” 选 择 any ,其 他 保持 默认 配置 。 

(21) 单 击 “策略 条 件 ? 一 栏 的 “目的 ?标签 页 “目的 IP 对 象 ” 选 择 any, 其 他 保持 默认 
配置 。 

(22) 单 击 “ 策 略 条 件 ? 一 栏 的 “安全 业务 ?标签 页 “入侵 防护 ?选择 T 

(23) 单 击 "策略 条 件 ? 一 栏 的 "动作 ”标签 页 ,选择 “操作 ”下 的 “接受 ” 选 

(24) 单 击 “确定 ”按钮 ,返回 到 “安全 策略 ” vao 

(25) 在 启用 防护 策略 之 前 ,需要 开启 入侵 防 御 系 统 的 数据 日 志 , 以 便 进 行 数据 统计 ， 
选择 面板 上 方 导航 栏 中 的 “管理 ”一 “全 局 配置 ”菜单 命令 。 

(26) 在 “全 局 配置 ”界面 ,确保 “日 志 记 录 开 关 ” 的 所 有 选项 都 处 于 ON 状态 ,其 他 保 
持 默 认 配 置 。 

(27) 单 击 “确定 ?按钮 ,保存 配置 。 再 单 击 “全 局 配置 ?一 栏 中 的 “全 局 开关 ?标签 页 ， 
如 图 4-80 所 示 。 


图 4-80 打开 全 局 配置 


(28) 在 “全 局 开关 ”界面 ,保证 “流量 统计 区 默认 包 策 略 交 全 局 开关 交 日 志 聚 合 功能 ” 
“本 地 端口 扫描 检测 ?的 所 有 选项 ,以 及 "安全 策略 ?中 的 “日志 聚合 开局 ?2?“ 应 用 识别 ?中 的 
“应 用 识别 ”都 处 于 ON 状态 ,其 他 保持 默认 配置 。 为 保存 取证 数据 包 , 要 选中 “安全 策略 ” 
一 栏 中 最 下 方 的 “IPS 取证 报 文保 存 到 文件 ”, 确 保 取 证 文件 可 保存 。 

(29) 单 击 “ 确 定 ” 按 钮 ,保存 全 局 配置 设置 。 选 择 上 方 导航 栏 中 的 “策略 ”>“DDoS Bj 
护 ” 菜 单 命令 ,显示 当前 的 DDoS 设置 信息 

(30) 在 “攻击 证 据 提 取 ” 一 栏 中 选中 “ 是 否 进 行 攻击 取证 ”， “攻击 报 文 接口 名 ”选择 模 
拟 外 网 接口 的 GE0/0/2,“ 攻 击 报 文采 样 率 ” 保 留 默 认 的 100, 

(31) 单 击 “确定 ”按钮 ,再 单 击 右上 角 的 磁盘 按钮 ,保存 当前 设置 。 

(32) 单 击 磁 盘 按 钮 后 ,弹出 “配置 保存 成 功 ” 的 窗口 。 
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【实验 预期 】 


(1) 外 网 用 户 可 正常 访问 内 网 服务 器 网 页 。 
(2) 外 网 用 户 发 起 SQL 注入 攻击 ,人 侵 防 御 系 统 对 攻击 行为 进行 取证 。 
(3) 可 下 载 人 侵 防 御 系 统 的 取证 数据 包 用 于 分 析 。 


【实验 结 采 】 


1. 外 网 用 户 可 正常 访问 内 网 服务 嘎 网 页 
(1) 登录 实验 平台 对 应 实验 拓扑 左 侧 标 红 框 的 Kali 2.0 虚拟 机 ,如 图 4-81 所 示 。 


(CX 


172.16.8.1/24 Web 服 务 器 . 
172.16.8.100/24 


Kail 2.0 : 
110.10.1.100/24 


管理 机 .10.0.0.22 
4-81 登录 左 侧 的 Kali 2.0 虚拟 机 


(2) 单 击 虚拟 机 闽 面 中 左 侧 工 具 栏 中 的 冰 融 浏览 右 的 快捷 方式 ,运行 冰 融 浏览 锅 , 如 
长 时 间 未 登录 , 须 输 入 密码 123456( 用 户 名 为 root) 登 录 系 统 。 

(3) dE vi as Br] Xt HER Hn di A A PURA as HJ IP 地 址 172.16.8.100, 可 正 第 浏览 网 页 
信息 ,表明 服务 器 及 网 络 工 作 正 常 ,如 图 4-82 所 示 。 


| 商品 分 类 | 精品 推荐 | 最 新 商品 | 打折 商品 | 热 销 商品 | 报价 中 心 | LII 


虽 牌 数码 | 品牌 家 电 | HARA | 早春 新 装 | 伴娘 礼服 | WAAR | 春 夏 手 袋 | 情 倡 饰品 | ARAE | 眼 部 护理 | 祛斑 防晒 | 保健 饮 茶 | 过 季 秋 装 


CITIES. 


+ 网 奇 Eshop 5.5 IR WE HH £P — 

+ 网 奇 Eshop 5.5 版 隆重 出 炉 商品 展示 

+ 网 奇 Eshop 5.5 版 隆重 出 炉 X | 早春 新 装 | 伴娘 礼服 

+ 网 奇 Eshop 5.5 版 隆重 出 炉 ik 热 销 韩 装 | pii cut 

+ 网 奇 Eshop 5.5 版 隆重 出 炉 — -o ERRE- 

+ AS Eshop 5.5 版 隆重 出 炉 A OLEI | SEFA 

+ 网 奇 Eshop 5.5 版 隆重 出 炉 T 情侣 饰品 | GUESS 新 款 包 
... BH. 


LL | m ARES | 眼 部 护理 
pa c 共计 :0.00 祛斑 防晒 | 防 敏感 
| 进入 购物 车 ... 品牌 数码 . . . 
三 星 | 诺基亚 

摩托 罗拉 | 索尼 爱立信 


4-82 Wil Hk x ss Rd vi 
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(4) 随意 单 击 首页 中 的 任意 商品 ,如 图 4-83 所 示 。 


| 商品 分 类 | 精品 推荐 | 最 新 商品 | 打折 商品 | 热 销 商品 | 报价 中 心 | 新 闻 中 心 | 帮助 中 心 | BES 


品牌 数码 | TARE | MHRA | 早春 新 装 | 伴娘 礼服 | MARS | SEF | 情侣 饰品 | ARAT | 眼 部 护理 | 祛斑 防晒 | 保健 饮 茶 | IFRA 


| @ 商城 动态 b 


+ 网 奇 Eshop 5.5 版 隆重 出 炉 | 

+ 网 奇 Eshop 5.5 ME HH £P ——— — —— — 

+ 网 奇 Eshop 5.5 版 隆重 出 炉 Ti 早春 新 装 | 伴娘 礼服 
Á 执 销 韩 装 prid 


+ 网 奇 Eshop 5.5 版 隆重 出 炉 
+ 网 奇 Eshop 5.5 版 隆重 出 炉 
+ 网 奇 Eshop 5.5BRPREB Hi 
+ 网 奇 Eshop 5.5 版 隆重 出 炉 


-花样 美 包 . - 
0L 新 姿态 | eH 
情侣 饰品 | GUESS 新 款 包 
... BUB ERN e 
美 肤 新 品 | 眼 部 护理 
o $tit:0.00 祛斑 防晒 | MERA 
-.… 品牌 数码 . - 


进 信 网 物 车 
图 4-83 浏览 某 件 商品 


uw ——— i BE | 
Lj | o mMEMBO 


C5) 在 浏览 器 中 显示 该 商品 的 具体 信息 和 URL 信息 ,可 见 URL 信息 中 包含 PID 的 
参数 传递 ,可 用 于 SQL 注入 测试 ,如 图 4-84 所 示 。 


品牌 数码 | 品牌 家 电 | 时 尚美 食 | 早春 新 装 | FALE | 热 销 韩 装 | SRFS | 情侣 饰品 | ARAS | 眼 部 护理 | 祛斑 防晒 | RERA | IFRA 


您 的 位 置 : 商城 首页 >> 详细 


mim 3m 


商品 代码 : 
RENZE: 
计量 单位 : 
miatt: 


积分 : 
浏览 数 : 
”相关 商品 


购买 | 收藏 | 推荐 | 


4-84 运行 ARP 攻击 工具 


2. 外 网 用 户 发 起 SQL 注入 攻击 ,入 侵 防 御 系 统 对 攻击 行为 进行 取证 

(1) 返回 Kali 2.0 虚拟 机 桌面 ,选择 左上 角 的 “应 用 程序 ”一 ”Web 程序 ”>sqlmap X 
单 命 令 ,运行 sqlmap 软件 ,如 图 4-85 Bron, 

(2) 在 弹出 的 命令 行 界面 中 输入 命令 “sqlmap -u 172.16.8.100/show.aspx? pid= 
28”, 如 图 4-86 所 示 。 

(3) 按 Enter 键 ,开始 SQL 注入 攻击 ,在 攻击 过 程 中 会 询问 是 否 检测 后 台 的 WAF, 
IPS IDS 设备 , 按 Enter 键 默认 不 检测 这 些 安 全 设备 ,如 图 4-87 PTR 

(4) sqlmap 继续 攻击 ,并 显示 攻击 的 一 些 信 息 ,如 图 4-88 Brzn . 
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burpsuite 


-3+ httrack 


02 - Nin 


- 数据 库 评 估 软 忻 

- 密码 攻击 

- 无 线 攻 击 

SEE. 

- 漏洞 利用 工具 集 
嗅 探 /欺骗 

- 权限 维持 

- 数字 取证 M. c 

- 报告 工具 集 

- 系统 服务 


Paros 


skipfish 


图 4-85 ”运行 sqlmap 软件 


root(gkali: ~“ 


文件 (F) 编辑 (E) 查看 (V) 搜索 (5) 终端 (T) 帮助 (H) 
- - dump- all Dump all DBMS databases tables entries 
-D DB DBMS database to enumerate 
- T TBL DBMS database table( s) to enumerate 
dee B DBMS database table column(s) to enumerate 


Operating system access: 
These options can be used to access the back-end database management 
system underlying operating system 


-- 0S- shell Prompt for an interactive operating system shell 
- - 0S- pwn Prompt for an 00B shell, Meterpreter or VNC 


General: 
These options can be used to set some general working parameters 


Never ask for user input, use the default behaviour 
Sē 


Flush session files for current target 


Miscellaneous: 
-- sqlmap- shell Prompt for an interactive sqlmap shell 
-- wizard simple wizard interface for beginner users 


[!] to see fulllist.of options run with.'-hh' 
: -$ sqimap -u 172. 16. 8. 100/ show. aspx? pid-28 


图 4-86 ”运行 SQL iE A áp 


3. 可 下 载 入 侵 防 御 系 统 的 取证 数据 包 用 于 分 析 

(1) 在 管理 机 中 打开 浏览 器 ,在 地 址 栏 中 输入 人 侵 防 御 系 统 产 品 的 IP 地 址 https:// 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ) ,进入 人 侵 防 御 系 统 的 登录 界面 。 输 入 管理 员 用 户 名 
admin FW ! 11w(22socz 3vpn 登录 人 侵 防 御 系 统 , 发 现 SQL 注 人 攻击 ,如 图 4-89 所 示 。 

(2) 选择 “管理 ”>“ 事 件 取证 ”菜单 命令 ,进入 事件 取证 界面 ,如 图 4-90 所 示 。 

(3) 在 “事件 取证 ”界面 ,可 见 人 人 侵 防 御 系 统 已 抓 取 攻击 包 , 并 保存 为 pcap 格式 文件 
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root(Qkali: ~ 
文件 (F) 编辑 (E) 查看 (V) 搜索 (S) 终端 (T) 帮助 (H) 


Miscellaneous: 
- SqlLmap- shell Prompt for an interactive sqlmap shell 
- wizard Simple wizard interface for beginner users 


to see full list of options run with '-hh 
| Li: ~# sgqlmap -u 172. 16. 8. 100/ show. aspx?pid=28 


J 
| 
*. CI 


) 


[!] legal disclaimer: Usage of sglmap for attacking targets without prior mutual 
consent is illegal. It is the end user's responsibility to obey all applicable 
local, state and federal laws. Developers assume no liability and are not respon 

sible for any misuse or damage caused by this program 


[*] starting at 00: $1; 23 


| Lesting conne Mars arge 
= 坟 3 z i | | č į i | i j i | | - Fs | | Pu. d 
[00: 51: 23] [CRITICAL] heuristics detected that the target is protected by some k 
ind of WAF/IPS/IDS 
do you want sqlmap to try to detect backend WAF/IPS/IDS? [Y/N] b 


图 4-87 不 检测 安全 设备 


root@kali: ~ 
文件 (F) 编辑 (E) 查看 (V) 搜索 (S$) 终端 (T) 帮助 (H) 


[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual 
consent is illegal. It is the end user s responsibility to obey all applicable 
local, state and federal laws. Developers assume no liability and are not respon 

sible for any misuse or damage caused by this program 


[*] starting at 00: 51: 23 


| | uristics detecte b| larset 
[00:51:23] [CRITICAL] heuristics detected that the target is IEEE by some k 
ind of WAF/IPS/IDS 
want sehe to 2 to detect backend WAF/IPS/IDS? [Y/N] 
es le target URI 

:07] FE ITN timed out to the ESTEE URL or proxy. sqlmap is 
going to retry the request 
[ 00: 54: 38] [CRITICAL] connection timed out to the target URL or proxy. sqlmap is 
going to retry the request 


图 4-88 | SQL 注入 攻击 状态 信息 


( 随 攻 击 时 间 长 短 , 生 成 的 数据 包 数 量 不 每 ) ,如 图 4-91 所 示 。 
(4) 单 击 3 个 数据 包 右 侧 “ 操 作 ” 列 中 的 下 载 按 钮 ,可 下 载 3 个 数据 包 , 如 图 4-92 


所 未 。 


(5) 下 载 后 的 数据 包 可 使 用 Wireshark 等 软件 打开 数据 包 。 本 实验 不 涉及 数据 分 析 
部 分 , 仅 展 示 数 据 包 ,可 用 于 分 析 攻 击 数据 ,如 图 4-93 所 示 。 
(6) 入 侵 防 御 系 统 实现 了 对 SQL 攻击 的 攻击 数据 取证 ,满足 实验 预期 。 
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ID CERE Ch TBI. IH CEE 
123.61 Kips 11121 Ebps 

p ü 

ü ü 


0 ü 


PEREIS TE» E 


mHE HEO TEESE Tiat 

2UTBUT/Z3 PTT 1 于 ?0 TIROS ! DO Tr HS 1 玫 是 

2018/01/23 165117 19439 — 1106920100 —— 172368100 

2018/01/23 S117 : 110031 — 1104920.:00 —— 172364100 

2UTHADT/Z23 titt: 13990 TTS. 70.100 Tz 168.100 

2018/01/23 Ml 19439 — 11089,0100 —— 172368100 

2018/01/23 Hdils : 1010031 — 1108.20.00 —— 172364100 | NS — 
2018/01/23 15:35:26 15990 — d106870:00 — I1T23&100 | F ; 
2018/01/23 153520 19439 — 1106970100 —— 1723&B100 
2018/01/23 1528.26 1010031 — 11068:0.100 — 172368.100 
2018/01/23 1494825 EN — 4610093 — 1104970100 — IT236A100 


图 4-89 人 侵 防 御 信 息 提 示 


NGIPS 
ABRE 


380] WACUNDEE OLTBOLNDTESI 
Gat ny i 1407 Ebpa 
gemik 

inune] 

Getytyà 


图 4-90 ”访问 事件 取证 


KESHE 
mihHisíg:2.282 K — XTPEEUN : | ER | Baa 
"s T GE|ERSM TRE] | ED Sues 
3 2m6 DI 23 17 05 11 85DODX 13990 pcs 779 13990 SOL union select - possible sgl injection attermqst - GET parameter 
2 201B D1 23 17 05 11 850000 19439 pcap 779 19439 SQL 1 = 1 - possible sql injection attempt 


1 2018 Of 23 17 05 11 850000 tü100X1.ncap 1010031 SOL injection -attempt nr 


图 4-91 取证 数据 包 列 表 


攻击 事件 到 证 


BHRSHEDEO2282K OEHEEIS SBb Name 


ss bm [xp (xm) | Seo | Tk 
3 


2018 01 23 17 05 11 50000 13930.pcap 77B 13920 SOL unten select - possible sql injectisn atbernpt - GET parameter 


2 2013 01 23 17 05 11 B50DOD 10425. pcap 778 15438 SO) 1 = 1 - possible sgl injection attempt 
i 2018 01 23 17 05 11 850000 1010021.9cap 3010021 SQL Injection -attempt or 


图 4-92 下载 对 应 的 数据 包 


CD 人 入 侵 防御 系统 取证 是 否 有 功能 限制 ? 
(2) 本 次 取证 产生 3 个 pcap 数据 包 ,如 何 设 置 使 得 其 数据 包 生 成 为 1 个 ? 
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7 05 11 850000 1010031.pcap 
机 图 (V r | 


HSE) DAG ERO DA 统 


SiT lo) 


BSN) 


TTEN 


ue: m&áS3ez3$s2zEBEl&Aa a m 


Source 


110.69.70.100 


Destination 


172.16.8.100 


Protocol 


LE) 帮助 (H) 


HTTP 


Frame 1: 739 bytes on wire (5912 bits), 739 bytes captured (5912 bits) 
Ethernet II, Src: RealtekU da:27:28 (52:54:00:da:27:28), Dst: RealtekU 95:0b:9e (52:54:00:95:0b:96) 


A 
> 
> Internet Protocol Version 4, Src: 
> 
? 


' 28 08 00 45 00 


45 
5c 


?pid-28& 
387%20AN 
1%20UNIO 
20SELECT 
42C3252Ct 
e262 0 F ROM 
mation s 
bles%206W 
#3E1--%2 
%2F. .92F 
sswd HTT 
ccept-La 
en-us,en 
Accept-E 
gzip,de 
ost: 172 
0..Accep 
html,app 
/xhtml +x 
cation/x 
,*/*;q-0 
-Agent: 
.O-dev-n 
180123 ( 
qlmap.or 


110.69.70.100, Dst: 17/2.16.8.100 


Transmission Control Protocol, Src Port: 53478 (53478), Dst Port: 80 (80) 


nYap%3D6 
D#201%3D 
N%28ALL% 
%201%2C2 
able nam 
%20infor 
chema .ta 
HERE%282 
日 . .%2F.. 
etc%2Fpa 
P/1.1..A 
nguage: 

;0-9.5.. 
ncoding: 
flate..H 
.16.8.18 
t: text/ 
lication 
ml,appli 
ml;q-8.9 
.8..User 
sqlmap/1 
ongit-20 
http://s 
g)..Acce 


Length 


Info 
739 GET /show.aspx?pid-28&n 


; »eq: 1, Ack: 1, Len: 673 


入 侵 检 测 与 入 侵 防 御 系 统 数 据 分 析 mem 


可 使 用 Wireshark 查看 攻击 数据 包 内 容 


47 IDS 和 IPS 的 数据 分 析 


入 侵 检测 系统 采用 先进 的 入 侵 检测 技术 体系 ,基于 状态 的 应 用 层 协 议 分 析 技 术 , 可 实 
时 采集 流量 并 进行 深度 分 析 , 记 录 发 现 的 攻击 或 威胁 并 进行 实时 报 壹 ,用 户 随 时 可 对 网 络 

目前 正在 发 生 或 是 可 能 构成 潜在 威胁 的 安全 事件 进行 调查 、 分 析 和 确认 。 

入 侵 检 测 系统 可 对 篆 见 的 病 口 扫描 攻击 .木马 后 门 、. 拒 绝 服务 攻击 .是 虫 .木马 、 绥 冲 
溢出 .远程 服务 攻击 .邮件 服务 硕 攻 击 `、 SQL 注入 攻击 、IIS 攻击 以 及 其 他 违规 行为 进行 实 
时 监测 。 入 侵 检测 系统 通过 将 各 种 详细 复杂 的 安全 状态 、 流 量 统 计 和 一 定 的 算法 相 结 合 
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并 进行 综合 分 析 , 提 炼 出 网 络 环境 中 的 网 络 安全 指数 ,从 总 体 评估 网 络 的 风险 情况 。 

入 侵 防 御 系 统 具 有 实时 主动 的 安全 防御 能 力 , 使 用 多 重 检 测 模式 你 证 准确 度 ,使 用 的 
检测 方法 有 状态 模式 检测 、 攻 击 特征 数据 库 模 式 检测 、 异 常 检测 等 ,在 不 影 啊 网 络 性 能 的 
情 帝 下 ,为 客户 提供 最 佳 的 保护 。 

入 侵 防 御 系 统 部 署 在 客户 网 络 的 关键 路 径 上 ,通过 对 数据 流 进行 2 一 7 层 的 深度 分 
析 , 具 有 能 精确 、 实 时 地 识别 和 阻 断 病毒 、 木 马 、SQL CA, LPS P yd ALAS Dod; .扫描 等 安全 
威胁 的 功能 ,还 具有 防火 墙 .文件 控制 \、URL 过 滤 、 关 键 字 过 滤 等 网 络 滥用 流量 的 识别 和 
限制 功能 。 入 侵 防 御 系 统 中 包含 了 众多 安全 措施 的 报表 信息 ,提供 了 流量 统计 和 监控 、 入 
侵 监 控 .应 用 排名 、 木 马 排名 等 傣 多 报表 信息 ,加 用 户 提 供 全 面 的 网 络 安 全 检测 .控制 和 
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ZKTTURTEULE V 


通过 前 面 章 节 的 实验 ,掌握 入 侵 检测 系统 的 基本 配置 .功能 配置 .功能 部 署 和 数据 分 
析 等 技能 ,本 章 将 综合 上 述 技能 完成 入侵 防御 系统 的 串 行 部 署 。 
【实验 目的 】 


将 入 侵 防御 系统 串 行 部 署 在 信息 系统 中 并 配置 系统 相关 参数 ,使 得 入 侵 防御 系统 完 
成 基本 防护 任务 。 


【知识 点 】 

地 址 对 象 、 时 间 对 象 、 应 用 对 象 .ACL、 关 键 字 、 网 址 过 滤 、 防 病毒 、 文 件 控 制 .DDoS、 
SQL 注入、 业务 分 析 ,流量 分 析 、 事 件 分 析 、 配 置 文件 .报表 安全 策略 。 

[5 z 18 15] 

A 公司 的 新 办 公 场 地 需要 部 署 安全 管理 设备 ,安全 运 维 工程 师 小 王 负 责 其 中 的 人 侵 
防御 系统 的 部 署 ,采用 串 行 部 署 在 内 网 关键 链 路 位 置 。 请 思考 应 如 何 实现 人 侵 防 御 系 统 
的 串 行 部 署 。 

【实验 原理 】 


电 接 透明 部 署 模式 是 人 侵 防御 系统 常用 的 部 署 方式 ,通过 配置 资源 对 象 、 策 略 对 象 ， 
利用 不 同 对 象 组 合 的 安全 策略 和 事件 、 流 量 的 统计 数据 ,实现 对 流 经 人 侵 防御 系统 数据 的 
清洗 。 同 时 ,利用 收集 的 统计 数据 ,可 对 发 生 的 业务 、 流 量 、 事 件 进行 统计 分 析 , 生 成 报表 


文件 等 方式 ,通过 对 人 侵 防 御 系 统 的 安全 数据 的 汇总 分 析 , 实 现 信息 系统 面临 安全 威胁 的 
分 析 和 预防 。 


【实验 设备 】 

安全 设备 : SecIPS 3600 人 侵 防 御 系 统 设 备 1 台 。 

网 络 设备 : 路 由 器 1 台 , 交 换 机 3 S., 

主机 终端 ， Windows 2003 SP2 主机 4 & . Windows XP 主机 2 台 ,Kali2.0 主机 1 &. 
Windows 7 主机 1 合 。 


【实验 拓扑 】 
入 侵 防御 系统 串 行 部 署 实验 拓扑 图 如 图 5-1 所 示 。 
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I | TAcms( Web 55 23) : 
! [ ] | ^ — 110.69.70.100/24 
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a | 
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E E E E € 一 E 
i | 110.69.70.1/24 -一 一 
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| | " " a aliu 
“5 
I | = W3SPX(DNS&FTPMail) 
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| | | | 
| | | PE | 
I — -一 - 
0 
| - — LII Re— 
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管理 机 : 10.0.0.22 


图 5-1 入侵 防御 系统 串 行 部 署 实验 拓扑 图 


【实验 思路 】 


(OD 配置 桥接 口 。 

(2) 配置 网 络 接口 。 

(3) 配置 资源 对 象 。 

(4) 配置 策略 对 象 。 

(5) 配置 安全 策略 ,实现 基于 时 间 资 源 的 不 同 地 址 对 象 的 上 网 管理 ,包括 关键 字 、 网 
HEVE, URL 类 、 防 病毒 、 文 件 控制 等 功能 。 

(6) 外 网 用 户 发 起 探测 ,入 侵 防 御 系 统 发 现 并 记录 攻击 事件 。 

(7) 对 上 述 过 程 产生 的 业务 流量、 事件 进行 分 析 , 生 成 报表 文件 ,以 便 查 阅 。 

(8) 系统 实现 安全 功能 要 求 , 并 部 署 完 成 后 ,保存 并 导出 当前 的 配置 文件 。 


【实验 步骤 】 


(1) 在 管理 机 中 打开 训 览 疮 ,在 地 址 栏 中 输入 和 人 侵 防 御 系 统 产 品 的 IP 地 址 https:// 
10.0.0.1( 以 实际 设备 IP 地 址 为 准 ) ,进入 人 侵 防 御 系 统 的 登录 界面 。 输 入 管理 员 用 户 名 
admin AIZZ fid ! 11$w(22soc € 3vpn 登录 和 人 侵 防御 系统 。 

(2) 单 击 “登录 ”按钮 ,会 弹出 修改 出 广 原始 密码 的 提示 框 , 单 击 “ 取 消 ?按钮 。 

(3) 登录 人 和 人 侵 防御 系统 设备 后 ,会 显示 人 侵 防 御 系 统 的 面板 界面 。 

(4) 选择 网络” 一 “网 络 接口 ”及 单 命令 ,配置 对 应 接口 的 IP 地 址 。 

(5) 配置 入 侵 防 御 系 统 网 络 。 返 回 管理 机 并 登录 入 侵 防 御 和 系统, 选择 网络” 一 “网 络 
接口 ? 沫 单 命令 。 

(6) 在 “网 络 接口 ”界面 , 单 击 “人 逻辑 桥接 口 ” 的 “十 ”按钮 增加 桥接 口 。 
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(7) 在 弹出 的 “编辑 逻辑 桥接 口 ? 界 面 , 输 入 “桥接 口 ID? 为 1, 选中 “启用 桥接 口 ?>，“ 绑 
定 接口 ”选择 “Ge0/0/2,Ge0/0/3”。 

(8) 单 击 “确定 ?按钮 ,返回 到 "网 络 接口 ?界面 ,可 见 成 功 增 加 的 桥接 口 。 

(9) 在 “网 络 接口 ?界面 ,双击 “以 太 网 接口 ?的 Ge0/0/2, 

(10) 在 “编辑 以 太 网 接口 ”界面 ,“ 流 统计 标识 ”选择 inside, 其 他 保持 默认 配置 。 

(11) 单 击 “ 确 定 ” 按 钮 ,返回 到 “网 络 接口 ”界面 ,再 双击 “以 太 网 接口 ”? 的 Ge0/0/3, 在 
弹出 的 “编辑 以 太 网 接口 ?界面 中 ， 流 统计 标识 ?选择 outside, 其 他 保持 默认 配置 。 

(12) 单 击 “确定 ”按钮 ,返回 到 “网 络 接口 ?界面 。 单 击 界面 上 方 导航 栏 中 的 “资源 ”一 > 
“资源 对 象 ” 沫 单 命 令 ,显示 当前 的 资源 列表 。 

(13) 在 “资源 对 象 ? 界 面 , 单 击 “地 址 对 象 ” 的 “十 ?按钮 增加 地 址 对 和 象 。 

(14) 在 "地 址 对 象 维 护 ? 界 面 ，“ 名 称 ? 一 栏 中 输入 "市场 部 ”地 址 ?一 栏 中 选择 “网 
E". FAKI IP 地 址 输入 172.16.7.0 , 撼 码 选择 255.255.255.0 ,其 他 保持 默认 配置 。 

(15) 单 击 “确定 ?按钮 ,返回 到 "资源 对 象 ? 界 面 , 可 见 添加 的 “市场 部 ?地 址 对 象 。 

(16) 继续 单 击 “ 地 址 对 和 象 ”* 的 “十 ”按钮 ,在 弹出 的 地址 对 和 象 维 护 ” 界 面 中 ,“ 名 称 ” 输 
入 “技术 部 ”, “地址 ”选择 “网 段 ”, 在 下 方 的 IP 地 址 栏 中 输入 172.16.8.0, 掩 码 选择 255. 
255.255.0。 

(17) 单 击 “ 确 定 ” 按 钮 ,返回 “资源 对 象 * 界 面 ,可 见 添加 的 两 个 地 址 对 象 。 

(18) 继续 单 击 “ 地 址 对 和 象 ”* 的 “十 ”按钮 ,在 弹出 的 地址 对 和 象 维 护 ” 界 面 中 ,“ 名 称 ” 输 
入 any. “地址 ”选择 “网 段 ”, 在 下 方 的 IP 地 址 栏 中 输入 0.0.0.0, 掩 码 选 择 0.0.0.0。 

(19) 单 击 “确定 ”按钮 ,返回 “资源 对 象 * 界 面 ,可 见 添 加 的 3 个 地 址 对 象 。 

(20) 单 击 “资源 对 象 ?面板 中 的 “应 用 组 对 象 " 标 签 ,显示 当前 的 应 用 组 对 象 。 

(21) 单 击 “应 用 组 对 和 象 ” 一 栏 中 的 “十 ”按钮 ,添加 应 用 对 象 。 

(22) 在 弹出 的 “应 用 协议 配置 "界面 中 ,“ 应 用 对 象 名 称 ” 输 入 ftp,“ 过 滤 条 件 ” 选 择 
“或 ”选项 ,在 “基于 协议 树 配 置 ” 标 签 页 中 , 单 击 “ 传 统 协 议 ” 前 的 舌头 ,在 展开 的 协议 树 中 
单 击 其 中 的 FTP。 

(23) 单 击 " 确 定 ? 按 钮 ,返回 "资源 对 象 ? 列 表 , 可 见 添加 的 ftp 应 用 组 对 象 , 如 图 5-2 所 示 。 


图 5-2 应 用 组 对 象 列 表 


(24) 单 击 “资源 对 象 ? 界 面 中 的 “时 间 资 源 ? 标 签 页 ,显示 当前 的 时 间 资 源 对 象 列 表 。 

(25) 单 击 “时 间 对 象 ” 中 的 “十 ”按钮 ,添加 时 间 对 象 。 

(26) 在 弹出 的 “添加 时 间 对 象 * 界 面 中 ,“ 名 称 ” 输 入 working,“ 调 度 方式 ”选择 “一 次 
性 调度 ”,“ 起 始 时 间 ” 选 择 当 前 的 时 间 ,“ 终 止 时 间 ” 选 择 当 前 时 间 加 一 天 。 

(27) 单 击 “ 确 定 ” 按 钮 ,返回 “资源 对 象 ” 界 面 ,可 见 添 加 的 working 时 间 对 象 ,如 图 5-3 
所 示 。 
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图 5-3 ENSIS 


(28) 在 “资源 对 象 ” 界 面 中 单 击 ACL 标签 页 ,显示 当前 的 ACL 列表 。 

(29) 在 ACL 界面 中 单 击 “十 ”, 增 加 ACL 对 象 。 

(30) 在 弹出 的 ACL 界面 中 ,“ACL 名 称 ” 输 入 any; “IP 地址 ”一 栏 中 ,“ 源 地 址 ”选择 
“地 址 对 象 ”; 下 方 的 “地 址 对 和 象 ” 选 择 any;“ 日 的 地 址 ”也 选择 “地 址 对 象 ”; 下 方 的 “地 址 对 和 象 ” 
选择 any。 在 “动作 ”一 栏 选 人 报 文通 过 CORDE 中 “匹配 生效 ”, 其 他 保持 默认 配置 。 

GD) 单 击 “确定 ”按钮 ,返回 到 ACL 界面 ,可 见 添 加 的 anyACL 对 象 。 

(32) 在 上 方 导航 栏 中 ,选择 "资源 ”>“ 策 略 对 象 ” 亲 单 售 令 。 

(33) 在 “策略 对 象 ”* 界 面 的 “关键 字 过 滤 ” 标 签 页 中 ,显示 当前 的 关键 字 列 表 ， 

(34) 在 “关键 字 过 滤 ” 界 面 , 单 击 十 ”按钮 添加 关键 字 。 

(35) 在 弹出 的 “新 建 关 键 字 过 滤 ” 界 面 ,“ 关 键 字 过 滤 名 称 ” 输 入 person, 选 中 “字符 
串 ”, 在 同一 行 的 文本 输入 框 中 输入 personid 并 单 击 右 侧 的 “添加 ”按钮 ,将 该 关键 字 添 加 
g^ X WEE yl ze" rp E" ARER”, 

(36) 单 击 “确定 ”按钮 ,返回 “策略 对 和 象 * 界 面 , 可见“ 关键 字 过 滤 ” 中 添加 的 person X 
键 字 对 象 。 

(37) 在 “策略 对 象 * 界 面 中 单 击 “ 网 址 过 小” 标签 页 ,显示 URL 过 滤 列 表 。 

(38) 在 “URL 过 小 ”界面 中 单 击 “十 ”按钮 。 

(39) 在 弹出 的 “新 建 URL 过 滤 ” 界 面 中 ,“URL 过 滤 名 称 ” 输 入 ctl,“ 黑 名 单 过 滤 方 
式 ” 选 择 “ 关 键 字 ”,“URL 黑 名 单 ” 中 输入 网 址 www. eshop. com , 单 击 “添加 ?按钮 ,将 该 
URL 添加 到 下 方 的 清单 中 。"“ 日 名 单 过 滤 方 式 ” 选 择 “ 关 键 字 ”,“URL 日 名 单 * 中 输入 网 
址 www.74cms.com . £i; ^s JI" T 4H ,将 该 URL 添加 到 下 方 的 清单 中 

(40) 单 击 “ 确 定 ” 按 钮 ,返回 “策略 对 象 ”* 界 面 ,可 见 添加 的 cd URL 过 滤 对 象 ,如 图 5-4 
所 示 。 


图 5-4 URL 过 滤 对 象 列表 


(41) 单 击 “ 策 略 对 象 ”* 界 面 中 的 “URL 类 ”标签 页 ,显示 当前 的 URL 类 资源 列表 。 

(42) 在 下 方 的 “URL 目 定 义 类 ?一 栏 中 , 单 击 “ 十 ?按钮 ,将 
“网址 过 滤 ?” 中 添加 的 域名 www.'74cms.com 添加 到 URL A XN 
类 中 ,如 图 5-5 所 示 。 

(43) 在 弹出 的 URL 界面 ,“ 组 名 称 ” 输 入 normal, 在 “URL 地 
址 ”中 输入 域名 www.74cms.com, 并 单 击 “ 添 加 ?按钮 ,将 该 域名 添加 
到 URL 地 址 列表 中 。 
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(44) 单 击 “ 确 定 ” 按 钮 ,返回 “策略 对 象 ”* 界 面 ,在 “URL 自 定义 类 ”中 可 见 添 加 的 nor- 
mal Xf Z , 

(45) 在 “URL 类 ”一 柱 中 单 击 “ 十 ”按钮 ,添加 URL 2S. 

(46) 在 弹出 的 URL 界面 中 ,“ 分 类 名 称 ” 输 入 www ;在 左 侧 的 “URL 分 类 列表 ”中 选 
择 最 下 方 的 “200 normal”, 再 单 击 " 二 二 ”按钮 ,将 该 URL 分 类 添加 到 右 侧 的 “可 选 URL 
分 类 列表 ”中 。 

(47) 单 击 “六 二 ”按钮 ,在 右 侧 的 “可 选 URL 分 类 列表 ”中 显示 添加 的 “200 normal". 

(48) 单 击 “确定 ”按钮 ,返回 “策略 对 象 ” 界 面 ,在 “URL 类 ”一 栏 中 可 见 添 加 的 www 
URL 类 对 象 。 

(49) 单 击 “策略 对 象 ” 界 面 中 的 “入 侵 特 征 对 象 ” 标 签 页 ,入 侵 防 御 系 统 默认 预 置 7 个 
模板 ,本 实验 使 用 其 中 的 ips 模板 。 

(50) 在 “策略 对 象 ? 界 面 , 单 击 “ 防 病毒 ”标签 页 ,显示 当前 防 病毒 策略 对 象 列表 。 

(51) 在 “ 防 病毒 ”一 栏 中 单 击 “十 ”按钮 ,添加 防 病毒 对 象 。 

(52) 在 弹出 的 新建 防 病 毒 * 界 面 ,“ 防 病毒 名 称 ” 输 入 virus. HTTP、FTP HAR“ E 
F” JA HTTP、FTP 右 侧 的 “开局 ”, 表 明 局 用 对 HTITP、FTP 的 防 病 毒 功 能 。 

(53) 单 击 “确定 ”按钮 ,返回 “策略 对 象 * 界 面 ,可 见 添 加 的 virus 防 病毒 对 象 。 

(54) 在 “策略 对 象 ”* 界 面 中 单 击 “文件 控制 ”标签 页 ,显示 当前 文件 控制 的 对 象 清单 。 

(55) 在 “文件 控制 ”一 柱 中 单 击 “十 ”按钮 。 

(56) 在 弹出 的 “新 建文 件 控制 ”界面 中 , “文件 控制 名 称 ” 输 入 mp3, 勾 选 “YFTP 上 传 ” 
劳 的 “配置 ”, 在 下 拉 列 表 框 中 选择 mp3 ,动作 选择 “丢弃 ”。 

(57) 单 击 “ 确 定 ” 按 钮 ,返回 “策略 对 象 ”* 界 面 ,可 见 添加 的 mp3 文件 控制 对 象 。 

(58) 再 次 单 击 “ 文 件 控制 ”一 栏 中 的 “十 ”按钮 ,添加 文件 控制 类 型 ,在 弹出 的 “新 建文 
件 控制 "界面 中 , “文件 控制 名 称 ” 输 入 exe, 选 中 “FTP 下 载 ”" 旁 的 “配置 ”, 在 下 拉 列 表 框 中 
ud exe L MAR ER”. 

59) 单 击 “ 确 定 ” 按 钮 ,返回 “策略 对 象 ” 界 面 ,在 “文件 控制 ”一 栏 中 可 见 添 加 的 两 个 
Nw 

(60) 局 用 防护 策略 之 前 ,需要 开局 入 侵 防 御 系 统 的 数据 日 志 , 以便 进 行 数 据 统 计 。 
单 击 面板 上 方 导航 栏 中 的 “省 理 ”->“ 全 局 配置 "菜单 从 令 。 

(61) 在 “全 局 配置 ”界面 的 “日 志 ” 标 签 页 中 ,确保 “日 志 记 录 开 关 ” 的 所 有 选项 都 处 于 
ON 状态 ,其 他 保持 默认 配置 。 

(62) 单 击 下 方 的 “确定 ”按钮 ,保存 配置 。 再 单 击 “全 局 配置 ”一 柱 中 的 “全 局 开关 ” 标 

签 页 。 

(63) 在 “全 局 开关 ”界面 ,保证 “流量 统计 ”默认 包 策 略 ””“ 全 局 开关 ”日 志 聚 合 功 能 ” 

“本 地 端口 扫描 检测 ”的 所 有 选项 ,以 及 “安全 策略 ”中 的 “日 志 聚 合 开启 ” eiad 
“应 用 识别 ”都 处 于 ON 状态 ,其 他 保持 默认 配置 ,再 单 击 下 方 的 “确定 ”按钮 完成 配置 。 

(64) 至 此 ,基本 配置 完成 ,后 续 开 始 配 置 不 同 应 用 场景 下 的 安全 策略 。 需 要 注意 的 
是 ,入 侵 防 御 系 统 安全 策略 和 日 志 有 生效 时 间 ,安全 策略 设置 完成 后 需要 等 符 5 一 10s ,以 
确保 策略 生效 ,以 及 产生 对 应 的 日 志 信 息 
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【实验 预期 了】 

(1) 内 网 用 户 可 正常 访问 外 网 服务 器 网 页 。 

(2) 配置 安全 策略 ,使 得 技术 部 网 段 不 能 访问 www.74cms.com 的 网 站 ,市 场 部 不 受 影响 。 

(3) 配置 安全 策略 ,使 得 在 指定 时 间 段 内 技术 部 市场 部 均 不 能 访问 www.74cms. 
com 了 网站。 

(4) 配置 安全 策略 ,使 得 技术 部 不 能 通过 FTP 上 传 mp3 类 型 文件 。 

(5) 配置 安全 策略 ,不 允许 通过 FTP 下载 exe 类 型 文件 。 

(6) 配置 安全 策略 ,对 文件 下 载 进 行 防 病毒 防护 。 

(7) 配置 安全 策略 ,使 得 在 指定 时 间 段 内 技术 部 ,市 场 部 均 不 能 使 用 FTP 上传 .下 载 
文件 。 

(8) 配置 安全 策略 ,对 包含 敏感 字段 personid 内 容 进 行 管控 。 

(9) 配置 防 垃 圾 邮件 © 病毒 策略 ,过 滤 垃 圾 邮件 、 含 病毒 邮件 。 

(10) 配置 安全 策略 ,对 外 网 用 户 发 起 的 漏洞 扫描 进行 防护 。 

(11) 对 当前 系统 进行 业务 分 析 。 

(12) 对 当前 系统 进行 流量 分 析 。 

(13) 对 当前 系统 进行 事件 监控 。 

(14) 生成 当日 报表 并 导出 报表 。 

(15) 保存 当前 配置 文件 ,并 导出 配置 文件 进行 保存 。 


【实验 结果 】 
1. 内 网 用 户 可 正常 访问 外 网 服务 器 网 页 
CD 登录 实验 平台 对 应 实验 拓扑 中 左上 方 市 场 部 中 的 WXPSP3 虚拟 机 ,如 图 5-6 所 示 。 


i i "i AL -—— -— -— $- a -—— — o X8 —-— Á— — — Wl F— — 


| 
| WXPSP3 : o | = 
| 172.6.7.100/24 市 场 部 ， | 
| 74cms( Web 服 务 器 ) : 
| | 110.69.70.100/24 
1 
一 一 三 一 I 3 
和 I MEN. | 
= 一 - A 
i 110.69.70.124 — 
WXPSP3: 172.16.8.100/24 — 1 | [ 
| GE2 | | GE3 172.16.8.1/16. ATN , Eshop( WebH 5 88) : 
| |] ——À y 110.69.70.200/24 
A A 
— 技术 部 | / IPS m 
110.79.80.124 m 


W3SP2(DNS&FTPMail) 


- 服务 器 : 
110.79.80.100/24 


rovar * I1D 


Yxems(WebBfi 55 88) ; 


NNNM | m Kail 2.0; 110,79.80.200/24 
tEBHÜL: 10.0.0.22 


图 5-6 登录 左上 方 市 场 部 中 的 虚拟 机 WXPSP3 
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(2) 在 虚拟 机 桌面 上 双击 火狐 浏览 器 快捷 方式 ,运行 火狐 浏览 
(3) dE X 9 DI 9, zs d EE rp di AX 4 www.eshop.com ,可 见 网 页 正 稼 显示 ,如 图 5-7 


所 示 。 


品牌 歼 码 | 品牌 家 电 | Blei E | 早春 新 装 | RILA | AAR | Ard | 情侣 饰品 | 美 赎 新 品 | HRSDEPTE | 祛 霸 防晒 | ERE | 过 季 秘 装 


PRLEDLILT CATEGORIES 


+ BdiEshop 5.5 f KE d H £P 
+ BdisEshop 5.50 KE d UI £P 
+ 同 雷 Eshop 5.5 m HH ER 
+ 网 亩 Eshop 5.5hk8g & tH £P 
+ RjEEshnop 5.58: E HH £P 
+ 网 亩 Eshop 5.58kRg & tH £P 
+ RjEEshnp 5.58: i& HH £P 


- REKE--- 
早春 新 法 FRL 
HEHE | prie 
- REX .-- 
OLNZS | ERU dE 
情 但 饰品 | GUESS 新 款 乌 
- - - 美 寄 尼 妆 - - - 


美 卜 新 品 | 眼 部 护理 
祛 址 防晒 | Pr 
-- gH - - 
三 星 | 诺基亚 
EEF] 袁 尼 爱 立 情 
- - 品 脾 家 电 - -- 
T| SXtmHE 
ZIP3T X81 | 黑 士 运动 装 
男士 皮鞋 | 男士 箱包 
8 TERR SE | 
--- Hüx&--- 


正在 传输 来 目 ww. eshop. eom. 的 数据 … 


5-7 外 网 服务 天 访问 正常 


(4) TE KIKA Vas gs HR BEES HP dy AC www.74cms.com, 可 见 网 页 正常 显示 ,如 图 5-8 
所 示 。 


| [EUM 招聘 信息 mAB 。 求职 信息 MIA —— ED 


当前 但 下: 网 站 首页 
id. 0 ge. 0 dm. 0 msg. 0 D asp 


请 给 入 归 人 名称。 公司 名 称 、 技 吾 特 长 。 学 校 等 关键 字 | REEN 。 写字 楼 搜索 职位 | AER 


PADIDUETE: HBR  IHERARER it 销售 工程 师 HEIE | 道路 搜索 上 职位。 kiia | 


最 新 下 载 简历 谁 下 载 了 我 的 简历 ? 马上 登录 查看 


图 5-8 ”外 网 服务 器 网 页 正常 显示 


(5) 登录 实验 拓扑 中 技术 部 左 侧 的 虚拟 机 WXPSP3 ,如 图 5-9 所 示 。 
(6) 在 虚拟 机 中 双击 火狐 浏览 右 快 捷 方式 ,运行 火狐 浏览 絮 。 
CD 在 火狐 浏览 器 地 址 栏 中 输入 域名 www.eshop.com, 可 正常 访问 外 网 网 页 ,如 


0-10 Ern. 
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WEXPSP3: 


Yxcms( Web 服 务 器 ) : 
172.16.8.200/24 


— — — 


m 入 侵 检 测 与 入 侵 防 御 实 验 指 本  me——m 


管理 机 : 10.0.0.22 


110.69.70.1/24 , 


172.16.8.1/16 CC) | 


110.79,80.1/24. ^ 


5-9 登录 技术 部 左 侧 的 虚拟 机 WXPSP3 


A 74dcms(Web 服 务 器 ): 
110.69.70.100/24 


Eshop( Webhk 55 28) : 
110.69,70.200/24 


W3SP2(DNS&FTPMail) 
服务 器 : 
110.79.80.100/24 


| 


Kail 2.0: 110.79.80.200/24 


品牌 禾 码 | 品牌 宗 电 | 时 尚美 售 | FE | RILAR | 热 销 韩 装 | SEFA | Aima | AA | RAE | shidEEHE | CRREDRIS | a 


PRLIDLICT CATEGORIES 


+ 园 奇 Eshop 5.5P& E H ff 
+ Bdürshop 5.5 EE d 1H fP 
+ 网 亩 Eshop 5.5 版 隆重 出 炉 
+ 网 亩 EStiupy 5.5Bpg as d jh 
+ 网 雷 Eshop 5.54 E Hér 
+ HH Eshop 5.54 i 1H £P 
+ HA Eshop 5.54f E Hér 


ww. eshop. com/RewFroductz. aspx 


图 5-10 5h Ar IR] 1E 6 


-- MAAE --- 
早春 新 装 | RLE 
FARR | BIS 

--- kHEa--- 
DL 新 姿态 | Em 
iB | GUESS E 
--- $i tt --- 
美 财 新 品 | BAA 
祛 址 防晒 | Ern 

- - ARAH --- 

三 星 | 诺基亚 
ETE H| REZIA 
-- AREM--- 
TY | 男士 西装 
ZIPTT A81 | 黑 士 运动 装 
男士 皮鞋 | 男士 箱包 


S EGER EE | 


-- HS --- 


(8) TEAXC DU] a e X ERA HP ALB www.T4cms.com. HJ Ub Ped vi 1E 4 w zs . An] 5-11 


所 示 。 


(9) 可 见 ,技术 部 与 市 场 部 均 可 正常 访问 外 网 服务 器 网 站 页 面 ,满足 预期 。 


2. 技术 部 网 段 不 能 访问 www.74cms.com 的 网 站 ,市 场 部 不 受 影响 
(1) 在 管理 机 中 登录 入 侵 防御 系统 ,选择 上 方 导航 栏 中 的 “策略 "一 “安全 策略 "菜单 
命令 ,如 图 5-12 Bron, 
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招聘 信息 ë TUBES ”求职 信息 MILIA FME 
当前 慢 置 ， 网 钻 首 页 


ibm. 0 ”有 效 职 位 : 0 ”有 部 简 历 : 0 会员 总 孝 : 0 区 填写 简历 


"m | NH m 所 新 资讯 
ARARE. GAER HERE SHERF. 搜 职 位 misi — 写字 楼 搜索 职位 


AERE: Hitt 销售 多 地 crib Hip tiig 道路 搜索 职位 。 上 标签 搜索 职位 


wA EA 谁 下 载 了 我 的 简历 ? 马上 登录 查看 


NGIPS 
EX IU EDS 


图 5-12 安全 策略 列表 


(2) 在 “安全 束 上 略 ” 罕 和 面 , 单 击 “ 安 全 策略 ”的 “十 ”按钮 ,增加 安全 和 略 ,如 图 5-13 
Br. 


M «» mv |10 | 1| 


图 5-13 ”增加 安全 策略 
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sg An Aap a  me———Á- 


(3) dE HB S E R A” A > R g A PRIA tech. YE" HERE ARTE — ELH] URS PRAE 
页 中 ,“ 源 IP 对 和 象 ” 选 择 “ 拉 术 部 ”, 其 他 你 持 默 认 配 置 ,如 图 5-14 所 示 。 


策略 名称 |tech MEM | 


BREE | 添加 后 不 允许 修改 | 
一 策略 条 件 一 


目的 时 间 对 象 用 户 | URL 分 类 | 应 用 | 安全 业务 | 动作 


TPS | 技术 部 


图 5-14 ”编辑 策略 


(4) 单 击 “ 琐 上 略 条 件 ” 一 栏 的 “目的 ”标签 页 ,“ 目 的 IP 对象 ”选择 any, 其 他 保持 默认 配 
置 , 如 图 5-15 所 示 。 


策略 名 称 


mam 。 添加 后 不 允许 修改 000 
策略 条 件 


= E uos 用 户 | URL 分 类 | 应 用 安全 业务 | 动作 


目的 域 ~ | 


目的 动态 地 址 集合 (组 ) - 


图 5-15 “目的 ”标签 页 


(5) Rid; "RAE FE^ — FS BJ"URL 类 ”标签 页 , “URL 分 类 ”选择 www, 如 图 5-16 
Br. 
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摘 述 信息 | 添加 后 个 花 许 修改 | 


策略 条 件 


图 5-16 "URL 分 类 ” 


(6) 单 击 “策略 条 件 ?” 一 人 栏 的 “动作 ?标签 页 “操作 ?选择 “ 丢 径 ?选项 ,如 图 5-17 Bron. 


描述 信息 ”| 添加 后 不 允许 修改 


策略 条 件 


源 | 目的 mays | BA | URL 分 类 | 应 用 | 安全 业务 


操作 人) 接受 (€ 丢弃 


图 5-17 “动作 ”标签 页 
(7) 单 击 “确定 ”按钮 ,返回 “安全 策略 ”界面 ,可 见 添 加 的 tech Zz 4 v m. Ul 5-18 
Br. 


HARR 
g mTXutb* 


:| ex | me | mw | me | mwms | uma | wm | m- | mua euam | aw 
1 tech pH any WWW x Xm up oc W € 


图 5-18 安全 策略 列表 


(8) 继续 单 击 “ 安 全 策略 ”中 的 “十 ”按钮 ,在 弹出 的 "新建 岳 略 ”界面 中 ,“ 束 上 略 名 称 ” 输 
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入 market ,在 “策略 条 件 ? 一 栏 的 “ 源 ” 标 签 页 中 “ 源 IP 对 象 ” 选 择 “ 市 场 部 ”, 如 图 5-19 
所 示 。 


FEE | market | 
描述 信息 | 添加 后 不 允许 修改 | 


一 策略 条 件 


目的 | 时 间 对 象 | 用 户 | URL 分 类 | 应 用 | 安全 业务 | 动作 


WIPS ”市场 名 - 
Day 


T 


图 5-19 Hh KER” P A“ +H” 


(9) EE RER — ER H Bg" mE, H BJ IP RR” A any, 如 图 5-20 Bron . 


meza (make 0000 


描述 信息 。 | 添加 后 不 允许 修改 | 
一 策略 条 件 一 一 


源 时 间 对 象 | 用 户 | URL 分 类 | 应 用 | 安全 业务 | 动作 


目的 IP 对 银 any 


目的 域 | 


目的 动态 地 址 集合 (组 ) 


图 5-20 "Hi IP 对象” 选择 any 


(10) 单 击 “策略 条 件 ” 一 柱 的 “URL 分 类 ”标签 页 ,“URL 分 类 ”选择 www, 如 图 5-21 
所 示 。 
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nid 
描述 信息 HRS bEPIEPN 


策略 条 件 


源 | 目的 ” 时 间 对 象 | 用户 应 用 | 安全 业务 | 动作 


图 5-21 "URL 分 类 ”选择 www 


(11) 单 击 “策略 条 件 ” 一 柱 的 “动作 ”标签 磁 ,“ 操 作 ” 选 择 接受 ”选项 ,如 图 5-22 
Br. 


SEEE market 


WASE | 漆 加 后 个 论 许 修改 
一 ”策略 条 件 


E 目的 ” 时 间 对 象 ” 有 用户” URI 分 类 ” 应 用 


图 5-22 “操作 ”选择 “接受 "选项 


(120 单 击 “确定 ”按钮 ,返回 “安全 和 芝 略 "界面, 可见 添加 的 两 个 安全 策略 对 象 ,如 图 5-23 
Br. 


图 5-23 ”添加 的 两 个 安全 策略 对 象 
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O 入 侵 检测 与 入 侵 防御 实验 指 


(13) 登录 实验 平台 对 应 实验 拓扑 中 左 侧 技术 部 的 虚拟 机 WXPSP3 ,如 图 5-24 所 示 。 


下 


| rw] 
WXPSP3.: | 


C 


| 

| | 

| | 

i | T4cms( WebHl? 55 23) : 
| [ ] | 110.69.70.100/24 

| €: | 


110.69.70.1/24 | 


GE3 172.16.8.1/16.— Eshop( WebHii 55 28) : 
110.69.70.200/24 


110.79.80.124 ` 
= 


1 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 

f | E W3SP2(DNS&FTPMail) 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 


> ER 110.79.80.100/24 
pee 
Yxems(WebHg 55 28) : m 


L- AEDA ---- | m Kail 2.0: 110,79.80.200/24 
管理 机 : 10.0.0.22 


图 5-24 登录 左 侧 技术 部 的 虚拟 机 WXPSP3 


(14) 38 £1 KILA E Ar o ENI Và, e HU IET rp dp A X46 www.74cms.com 可见 已 无 法 访 
问 该 网 站 页 面 ,如 图 5-25 所 示 。 


TFE fE EAM MEM PÆ IH 条 时 H) 
Fr. ETH mS. 5--Power--- W zs MERATE 


€) Dr reer as — |&&t*9z 


XE TECH ER 


TR M DR SS ar EE B. 

e HEISS ETAn ARARE. ATA BETA 

e RG OARA EARE.: Aa EGRE. 

。 RGE EIL Pd RR A aa ES a AA AA, Firefox CHESODOUSRIPdis. 


图 5-25 无 法 访问 外 网 服务 器 


(150 登录 实验 平台 对 应 实验 拓扑 中 左上 方 市 场 部 的 虚拟 机 WXPSP3 ,如 图 5-26 所 示 。 
(16) 在 虚拟 机 中 运行 火狐 浏览 需 ,在 浏览 锅 地 址 栏 中 输入 域名 www.74cms.com ,可 
见 网 页 正 稼 显示 ,如 图 5-27 所 示 。 
(17) 在 入 侵 防御 系 统 中 设置 允许 市 场 部 访问 www.74cms.com, 不 允许 技术 部 访问 
该 域名 的 安全 宁 上 略 后 ,市场 部 访问 该 域名 不 受 影响 ,技术 部 访问 该 域名 无 法 显示 网 页 , 满 
足 预期 。 
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WEXPSP3. 
172.16.7.100/24 市 场 部 


Kail 2.0: 110.79.80.200/24 


T CUTE MEI es —1 i A. 
l , | 
I | 110.69.70.1/24 一 一 
IWXPSP3 : 172.16.8.100/24 | NEN ME 
I 
| GE2 CJ GE3 172.16.8.1/16 Eshop(Web 服 务 器 ) : 
l | ， 
| C> 110.697020% 
i - 技术 部 IPS | | 一 一 
l 
i / 110.79.80.1/24 ` — 
| | P " a P. 
Eri 
i | E W3SP2(DNS&FTPMail) 
I | ES 服务 器 . 
i | 三 [2e N 110.79.80.100/24 
| = | 
l | k= 
l 
E 
| 
l | ss 
| Yxems( WebH 55 28) : | 
l | | 
l _| 


管理 机 : 10.0.0.22 


5-26 ”登录 左上 方 市 场 部 的 虚拟 机 WXPSP3 


LEM HRAS MER RRAS —HRLREGA 。 ”新闻 资讯 。 会 员 中 心 。” 进入 论坛 


当前 位 下 : 网 站 首页 


EL DTI 


Hm PSA: 0 fe nn. 0 有效 简历 : 0 emn 


公告 | WEM BWAR 
请 往 入 职位 各 称 。 公 司 名 称 ， 技 能 特长 。 学 校 等 壬 键 字 .， TERAP ë SFERRARE i 


热门 美 键 字 ， 销售 代表 销售 经 理 会 计 销售 工程 师 销售 助理 ARMAND — 按 标 答 所 索 归 位 


琼 新 下 载 简 历 谁 下 载 了 我 的 简历 ? 马上 登录 查看 ë 本 周 热 点 职位 


我 也 要 出 现在 这 里 ! | 更 多 职位 紧急 招聘 


| 


图 5-27 网 页 正常 显示 


3. 在 指定 时 间 段 内 ,技术 部 市场 部 均 不 能 访问 www.74cms.com 网 站 

(1) 在 省 理 机 中 登录 入 侵 防 御 和 系统, 选择 上 方 导航 栏 中 的 “策略 ”一 “安全 策略 ” 采 单 
命令 ,在 “安全 生 略 ”界面 中 单 击 “十 ”按钮 ,在 弹出 的 “新 建 策 上 略 ” 界 面 中 ,“ 策 略 名 称 ” 输 入 
working ,在 “策略 条 件 ” 一 柱 中 的 “ 源 ” 标 签 页 中 ,“ 源 IP 对 象 ? 选 择 any, WE 5-28 所 示 。 

(2) 单 击 “ 策 略 条 件 ” 一 栏 的 “目的 ”标签 页 ,“ 目 的 IP 对 象 ” 选 择 any ,如 图 5-29 所 示 。 

(3) 单 击 “ 策 略 条 件 ” 一 栏 的 "时间 对 象 ” 标 签 矶 ,“ 时 间 对 象 ” 选 择 working, 如 图 5-30 
所 示 。 
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策略 名 称 | working | 
描述 信息 | 添加 后 不 允许 修改 | 


目的 | 时 间 对 象 | 用 户 URL 分 类 | 应 用 | 安全 业务 | 动作 


一 ”策略 条 件 


用户 


—— Á—— —t( Lt 


目的 域 


目的 动态 地 址 集合 (组 ) | | - 


5-29 “目的 IP 对象” 选择 any 


(4) EAE RE AR PE" — E: HJ URL 分 类 ”标签 页 ,“URL 分 类 ”选择 www, 如 图 5-31 
所 示 。 

(5) 单 击 “ 策 略 条 件 ” 一 栏 的 “动作 ”标签 页 , “操作 ”选择 “丢弃” 选项 ,如 图 5-32 Bron. 

(60 单 击 “确定 ”按钮 ,人 返回 “安全 策略 ”界面 ,可 见 添 加 的 working 9 R& . "I BI 5-33 
所 示 。 

(7) 为 使 添加 的 working 策略 优先 于 其 他 两 条 策略 ,需要 将 working 策略 上 移 至 第 
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| working | 
| 添加 后 个 允许 修改 | 


图 5-30 “时 间 对 象 ? 标 签 页 


图 5-31 “URL 分 类 ?选择 www 


一 条 策略 。 单 击 working 策略 ,再 单 击 “人 ”按钮 ,如 图 5-34 Br. 

(8) HE" 人 ?按钮 ,在 弹出 的 提示 框 中 单 击 “确定 ?按钮 即 可 ,如 图 5-35 所 示 。 

(9) 单 击 “ 确 定 ” 按 钮 ,working 策略 上 移 一 位 ,如 图 5-36 Bron . 

(10) 再 次 单 击 working 策略 和 "人 ”按钮 ,将 working s Wt EE — UX , 1E 12 R i N 
第 一 条 策略 ,如 图 5-37 所 示 。 

(11) 调整 安全 开 略 完成 后 ,登录 实验 平台 对 应 实验 拓扑 中 左上 方 市 场 部 的 虚拟 机 
WXPSP3, 如 图 5-38 所 示 。 
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Egg 入 侵 检 测 与 入 侵 防 第 实验 指导 me— 


niic 
描述 信息 | RA OEFIEPA | 


一 ”策略 条 件 


源 | 目的 | 时间 对 象 “” PHP | URLZGSÉ | 应 用 | 安全 业务 


操作 O ”全 丢弃 


图 5-32 “操作 ”选择 “丢弃 ”选项 


LERH 


m m-xmemizs 


EtL 

LAE E We wb ds 
c msc Ww n 
X p omDs 49 "E odi 


MES ERRER : 


确定 


图 5-35 单 击 "确定 ”按钮 


Ai 
$i E+ Xpt 
"— | m" 


tech 


£z 
1 
E 
3 


WR mp6 WW GE 


图 5-36 working 策略 上 移 一 位 


(12) Æ E TU BL Pis fT AKILA Và, 26 TE DU Vs AE HP dA www.74cms.com. nJ M ri 
场 部 虚拟 机 已 无 法 访问 该 域名 网 站 ,如 图 5-39 所 示 。 


208 


El 
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单 击 working 9 lH fl^ ^ "Tz 


AR mp6 EE, 
cà m-45 € Ow Gs 
c» ms W € 


7 ! 人 

WXPSP3. | 一 一 

1 172.16.7.100/24 市 场 部 | C= 

| | | TAcms( Web? 55 28) : 

| [ ] | 110.69.70.100/24 

I | 

| s E HR | 2 

0 本 — 

| 7 j EE 

| | 110.69.70. 1/24 | 

!WXPSP3: 172.16.8.100/24 — | [| = 

Oa D uM 

| — | 10.69.70.200/2 
rmm ami "E 

i 110.79.80.1/24 — 

| / | 

/ | | W3SP2X(DNS&FTPMail) 

' | \ 服务 器 : 

| Pi | ED 110.79.80.100/24 

l | 

| | 

Bo 

| | =] | | 

1 CE | | 

' Yxems( WebHg 55 28) : | 

I 172.16.8.200/24 | Kail 2.0: 110,79.80.200/24 


图 5-38 


TFD 4E BAN PEO PZ IBT) 


A WE nis 十 


E 

r A 7T 

| | UE) www. Tácms. com 
A. 此 


连接 做 音量 


管理 机 : 10.0.0.22 


AER OD 


再 次 登录 左上 方 市 场 部 的 虚拟 机 WXPSPS 


-ek 


SA BETIS] SREE E B. 

s Jo eer EP RT ARARE. ATR ho 

e 如果 惩 无 法 载 入 任何 页 面 ， 博 检查 您 计算 机 的 网 络 过 接 。 

.« 如 果 您 的 计生 机 或 网 络 腕 到 防水 墙 或 者 化 理 服务 器 的 保护 ， 博 确 计 Fizresox CARR ANAN opre- 


ED 


图 5-39 ”无 法 访问 网 站 


(13) 通过 设置 与 时 间 操 作 匹 配 的 安全 束 略 ,达到 在 指定 时 间 段 内 不 能 访问 指定 网 站 


的 目的 ,满足 预期 


a 
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4. 技术 部 不 能 通过 FTP 上 传 mp3 类 型 文件 
(1) 返回 虚拟 机 时 面 ,双击 FTPRush 快捷 方式 ,运行 FTP 软件 ,如 图 5-40 所 示 。 


图 5-40 XX FTPRush 快捷 方式 


(2) 在 软件 运行 界面 上 的 “主机 地 址 ”输入 外 网 FTP 服务 器 的 IP 地 址 110.79.80. 
100 ,并 按 Enter 键 ,如 图 5-41 所 示 。 


2| FIF Rush  ftp://110. 79. 80. 100 回回 加 


| o Ftpi110.79.80. 100 
COURSES BIET: fip./]110.79.80. 100 BELEE | 


C] calc.exe 112.0 k 2003-03-27 20:00:00 
BB hddkll.zip 69.2 k 2007-05-17 01:53:00 
zit 0 目录 E1812 Es I— T- 


EE Passive Mode 6£110,78,80, 100, t rs 
Aesp EHL: 110.79.80.100 BEI: 10 


[ata connection already open: Transfer starting. 
T Transfer complete. 


列表 完成 : 传输 101 字 节 使 用 0.1380 54KBps? 


P den diio | 


图 5-41 登录 FTP IR 28 


(3) ÆA f E] ZI 3b, ai ET" — h , E A Si qfi. d zs 8i phi HP BRE mp3 文件 信息 ,如 
图 5-42 所 示 。 

(4) 右 击 “运动 员 进 行 曲 .mp3” 文 件 , 在 弹出 的 菜单 中 选择 “传输 ”, 如 图 5-43 所 示 。 

(5) 传输 完成 后 ,在 界面 左 侧 的 “远程 窗口 ?中 可 见 上 传 的 mp3 文件 ,如 图 5-44 所 示 。 
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€) FIP Eush 


n "rihh re 


ftp://11Uü. T 


TO OUUU 
(1) 远程 寄 口 ， 站 :Li10,79,80,1O00 (2^ 本 地 窗口 


HAJH 
112.0 k 2003-03-27 20:00:00 Y 我 的 电脑 
60.2 k 2007-05-17 01:53:00 Sae 本 地 磁盘 (CO 


i CD 驱动 器 (D ) 

加 cmn 

加 Administrator BT S 
A &J 网 上 邻居 


TT ZUISUUT ry 
5,8 M 2006-12-29 12:39:38 


图 5-42 显示 本 地 桌面 文件 


0 2017-05-31 02:40:10 

D 2018-01-31 00:00:00 

D 2018-01-31 00:00:00 

0 2018-01-31 14:21:42 

541 b 2018-01-29 15:27:29 

616 b 2018-01-31 14:15:16 

724 b 2017-05-31 02:33:48 

i] 运动 员 进 行 曲 ,mp3 5,8 M 2006-12-29 12:39:38 


Lyr 


oe MEHI V 十 


b. d 


112.0 k 2003-03-27 20:00:00 xu 0 2017-05-31 02:40:10 

SS Hddkill.zin 69.2 k 2007-05-17 01:53:00 1 D 2018-01-31 00:00:00 
5.8 M 2018-01-31 14:35:00 Y 我 D 2018-01-31 00:00:00 
ESTA D 2018-01-31 14:21:42 

541 b 2018-01-29 15:27:29 

616 b 2018-01-31 14:15:16 

Bl. Mozilla Firefox 724 b 2017-05-31 02:39:49 


运动 员 ] 韩 行 曲 ,mp3 5.8 M 2006-12-29 12:39:38 


图 5-44 上 传 文件 成 功 


(6) 右 击 界面 左 侧 “远程 窗口 ?中 的 mp3 文件 ,在 弹出 的 荣 单 中 选择 “ 删 际 ”, 将 远程 
FTP 服务 器 上 的 mp3 文件 删除 ,如 图 5-45 所 示 。 
(7) 在 弹出 的 确认 框 中 单 击 “是 (Y)” 按 钮 ,确认 删除 ,如 图 5-46 所 示 。 
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m 入 侵 检 测 与 入 侵 防 御 实 验 指 和 村 ES 
(1) 远程 窗口 ; ftp:1/110,79,80.100 
112.0 k 2003-03-27 20:00:00 
69.2 k 2007-05-17 01:53:00 
AAN N E m 5,8 M 2018-01-31 14:35:00 
Sw fS T) CirliT 
IMARA] Ctrl+g 
TEST FE LE 
APER. Ctrliü 
SBIURL 
Taba] D... 
SS Boe EET TE 5 
图 5-45 ”删除 远程 FTP 服务 器 上 的 mp3 文件 
(8) 删除 mp3 文件 后 ,远程 FTP 服务 器 上 已 没有 mp3 文件 显示 ,如 图 5-47 所 示 。 
(1) 远程 窗口 ， ftp://110.73.80,100 
(9 ) MERER 运动 员 进 行 曲 mp3 ? 
| T : pe E 112.0 k 2003-03-27 20:00:00 
ill. zi 69.2 k 2007-05-17 01:53:00 
图 5-46 ”确认 删除 图 5-47 远程 FTP 服务 器 文件 列表 
(9) 登录 实验 平台 左 侧 对 应 实验 拓扑 中 技术 部 的 虚拟 机 WXPSP3 ,如 图 5-48 Brzn . 
| — WXPSP3; | Es 
| 172.16.7.100/24 市 场 部 ， ne 
| | 7TAcms( WebB 55 28) : 
I | tp 
[ ] | 110.69.70.100/24 
| EE N LL LLLLLL | M 
COPS us (— 
| 110.69.70.1/24 ! 一 一 
IWXPSPS; 172.16.8.100/24 N e 
| | = 
\ | 110,79.80.1/24 | 一 一 
| 
| //N3SP2(DNS&FTPMail) 
| | 服务 器 : 
| ! LS 110.79.80.100/24 
| | 
| fF | : 
i [ | 
| BE | [ ] 
| | e | 
| Yxcms(Web 服 务 器 ): | | 
i 172.16.8.200/24 | Kail 2.0: 110.79.80.200/24 
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管理 机 : 10.0.0.22 


图 5-48 登录 左 侧 技术 部 的 虚拟 机 WXPSP3 


^ oo X 综合 课程 设计 mem 


(100 在 虚拟 机 的 桌面 中 双击 FTPRush 快捷 方式 ,运行 FTP 软件 ,如 图 5-49 所 示 。 


3 


运动 员 进行 
曲 . mp3 


5-49 ”双击 FTPRush 快捷 方式 


(11) 在 软件 运行 界面 上 的 “主机 地 址 ?输入 外 网 FTP 服务 器 的 IP 地 址 110.79.80. 
100 ,并 按 Enter 键 , 如 图 5-50 所 示 。 


S FIF Rush  ftp://110. T9. 80. 100 回回 加 


if] ANTERE nlad- Ei 


| o £i 1110.73.80. 100 


2) EHI 
: [— Ta [^ a 7 a ii- | 
-E : [DS My FTPRush Downloads F^ i 


ES 

íi. 上 一 层 目 录 
国 calc.exe 112.0 k 2003-03-27 20:00:00 
EÈ hddkill.zip 69.2 k 2007-05-17 01:53:00 


2 立 件 0 目录 disi. kF 


227 Entering Passive Mode (110,73.80. 100, 4, 145. 
HARRESE: 110.73.80.100 #0: i038 

LIST 
125 
2? 


Data connection already open: Transfer starting. 
B Transfer complete. 


[1] 
[1] 
[1] 
UE 
[1] 到 表 完 成 : 苇 输 101 SES 使 用 D.198U a 54KBpz?) 


图 5-50 登录 FTP 服务 器 


(12) 在 界面 右 侧 的 “本 地 窗口 ”一 栏 中 ,进入 果 面 ,显示 果 面 中 包含 的 mp3 文件 信 
息 ,如 图 5-51 所 示 。 

(13) 右 击 “ 运 XE fT HH. mp3" XC PF ,在 弹出 的 羔 单 中 选择 “传输 ”, 如 图 5-52 Bron. 

(14) siege 口 ? 中 可 见 上 传 的 mp3 文件 ,如 图 5-53 所 示 。 

(15) 右 击 界面 左 侧 “ 远 程 窗口 ?中 的 mp3 文件 ,在 弹出 的 菜单 中 选择 “删除 ” ,将 远程 
FTP 服务 右上 的 mp3 文件 删除 ,如 图 5-54 所 示 。 


213 


e— 入 侵 检 测 与 入 侵 防 第 实验 指导 me— 


Hiat; mss 主机 地 址 110.79.80.100 端口 用 户 :3 p 路 径 _ | | 

| [i 
6 Ptpi/110.78.80. 100 

(D 还 程 窗口 ，ftp 110,79,80,100 "ES 


: x | m 1B 


; ze | 日 期 


T] calc.exe 112.0 k 2003-03-27 20:00:00 
hddkill.zip 69,2 k 2007-05-17 01:53:00 " iE Ver 
dA CD 3Ezhas (D:) 

[c zem 

(C Administrator ET T 
&g 网 上 部 居 
[c 实验 工具 
728 b 2017-12-19 09:53:04 
| Mozi 724 b 2017-05-31 02:39:49 


5.8 M 2006-12-29 12:39:38 
图 5-51 显示 本 地 桌面 文件 


(2) 本 地 窗口 


D 2017-05-31 02:40:10 

0 2018-01-31 00:00:00 

0 2018-01-31 00:00:00 

0 2018-01-31 14:16:58 

541 b 2018-01-29 15:28:56 

616 b 2018-01-31 14:16:51 

IPS D525 LIC.lic 1.1 k 2017-12-19 09:52:54 

IPS D525 pd,enc 728 b 2017-12-19 09:53:04 

Bl. Mozilla Firefox 724 b 2017-05-31 02:39:49 

o 12 85 MATA. mna 5.8 M 2006-12-29 12:39:38 
| ap Ctrl4T 
添加 选择 的 女 件 到 队列 CtrltQ 


TER fe Ru TRE 


l- e |x) 


D ftp: 110.79.80.100 


(1) 远程 窗口 ; ftp:110.79.80.100 (2) 本 地 窗口 


za 


" 


T zB: oss 

ep 
i. E—EBX à 

FẸ calc.exe 112.0 k 2003-03-27 20:00:00 x D 2017-05-31 02:40:10 

ES bddkill zin 69,2 k 2007-05-17 01:53:00 D 2018-01-31 00:00:00 

5,8 M 2018-01-31 14:49:00 gx D 2018-01-31 00:00:00 

D 2018-01-31 14:16:58 

541 b 2018-01-29 15:28:56 

616 b 2018-01-31 14:16:51 

IPS D525 LIC.|lic 1.1 k 2017-12-19 09:52:54 

IPS D525 pd.enc 728 b 2017-12-19 09:53:04 

a Mozila FireFax 724 b 2017-05-31 02:39:49 


1e 51 ETT Eg. mp3 5,8 M 2006-12-29 12:39:38 


图 5-53 上传 文件 成 功 
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(1) xmfz IL: ftp://110,.79.80.100 


已 


112.0 k 2003-03-27 20:00:00 
| MEM 69.2 k 2007-05-17 01:53:00 — 
" 5,8 M 2018-01-31 14:49:00 
传输 (T) Ctrl+T 
3 添加 选择 的 交 件 到 队列 Ctrl49 


A BEER PER 
5-54 删除 远程 FTP 服务 器 上 的 mp3 文件 


(160 在 弹出 的 确认 框 中 单 击 “是 (Y)” 按 钮 ,确认 删除 ,如 图 5-55 所 示 。 


图 5-55 ”确认 删除 


(17) 删除 mp3 文件 后 ,远程 FTP 服务 器 上 已 没有 mp3 文件 显示 ,如 图 5-56 所 示 。 


(1) 远程 窗口 : ftp://110,.79.80.100 


IM -EHR 
mai calc.exe 112.0 k 2003-03-27 20:00:00 
ES hddkill.zip 69.2 k 2007-05-17 01:53:00 


图 5-56 wf FTP 服务 器 文件 列表 


(18) 在 管理 机 中 登录 入 侵 防 御 系 统 , 在 界面 上 方 导 航 芒 中 选择 "有 宁 略 ”一 ”安全 稼 略 ” 
某 单 命令 ,显示 当前 的 安全 介 略 列表 ,如 图 5-57 所 示 。 


NGIPS 
A EIER 


siaN 
B*mntist 


4; ESSwwg 
* o mw ws 
* x m:msecq wx 


图 5-57 安全 策略 列表 
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(19) 单 击 "安全 策略 ”一 栏 的 “十 ”按钮 ,在 弹出 的 “新 建 策略” 界面 中 ,策略 名 称 ” 输 
入 mp3, 在 “策略 条 件 ” 一 栏 中 的 “ 源 ” 标 签 页 中 ,“ 源 IP 对 象 " 选 择 “ 技 术 部 ”, 如 图 5-58 
Bia. 


策略 和 名称 mp3 


摘 述 信息 | PRADA oT SPA | 


一 策略 条 件 


目的 时 间 对 象 | 用 户 | URL 分 类 | 应 用 | 安全 业务 | 动人 


mene 
源 域 Z 


源 动 态 地 址 集合 (组 ) 


ZR 
ri 
cn 
oo 


«n IP 对 象 ” 选 择 “ 技 术 部 ” 


(20) 单 击 “ 策 略 条 件 ” 一 栏 的 “目的 ”标签 页 , “目的 IP 对 象 ”选择 any, 如 图 5-59 
所 示 。 


策略 名 称 | mp3 | 
描述 信息 | 添加 后 不 允许 修改 | 


一 策略 条 件 


B 时 间 对 象 | 用户 URI 分 类 | 应 用 | 安全 业务 | 动作 


目的 IP 对 象 


目的 域 | 


目的 动态 地 址 集合 (组 ) 


图 5-59 “目的 IP 对象” 选择 any 


(21) 单 击 “ 素 上 略 条 件 ” 一 柱 的 “时 间 对 象 ” 按 钮 ,“ 时 间 对 象 ” 选 择 working. Jl E] 5-60 
Br. 
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策略 名 称  |mp3 


muB 添加 后 不 允许 修改 | 


一 策略 条 件 


FF EPE 


时 间 对 象 | working 


图 5-60 “时 间 对 象 " 选 择 working 


(22) 单 击 * 策 略 条 件 ” 一 栏 的 安全 业务 ”标签 页 “文件 控制 "选择 mp3, 如 图 5-61 
所 示 。 


| mp3 | 
描述 信息 | Ae orem | 


一 ”策略 条 件 


iE | 目的 时 间 对 象 用 户 URL 分 类 | 应 用 动作 


ARDI 


5-61 “文件 控制 ?选择 mp3 


(23) 单 击 “ 生 上 略 条 件 ” 一 栏 的 “动作 ”标签 页 “操作” 选择 “接受 ”选项 ,如 图 5-62 
所 示 。 
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策略 名 称 ”| mp3 


描述 信息 | 漆 加 后 个 伦 计 修改 


策略 条 件 


PET | 用 户 | URI 分 类 | 应 用 | 安全 业务 


操作 (ese OZ 


图 5-62 操作 选择 “接受 "选项 
(24) 单 击 “确定 ”按钮 ,返回 “安全 策略 ”界面 ,可 见 添加 的 mp3 安全 策略 ,如 图 5-63 所 示 。 


ARR 
g Tx ties 


cm oue WO 
WR ED s WpOWR d 
c God Ws dy 
4 cs moo Wo. uU 


图 5-63 添加 的 mp3 安全 策略 


(25) 再 次 登录 实验 平台 对 应 实验 拓扑 中 左 侧 技 术 部 的 虚拟 机 W XPSPS ,如 图 5-64 所 示 。 


WXPSP3.: 


74cms( Web] 45 98) . 
110.69.70.100/24 


I 
j 


———— !———— — 一 1 fF 
IWXPSP3 ， 172.16.8.100/24 | Do 一 
| z 10,5. | | 
l 
| 
| 5 | 技术 部 | Ps | | 
| | | | | 一 一 一 
110.79.80.1/24 | 
| | " * » i ; 
可 
| = / W3SPXDNS&FTPMail) 
| | E | 服务 需 : 
| | 三 110.79.80.100/24 
l | = ; 
| — 
| 一 一 | | | 
I | 
l — — | L] 
| Yxcms(Webik 55 28) : | [三 | 
' | | -e 
l 172.16.8.200/24 | Ix Kail 2.0. 110.79.80.200/24 


管理 机 : 10.0.0.22 


5-64 ”再 次 登录 左 侧 技术 部 的 虚拟 机 WXPSP3 
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(26) 在 虚拟 机 的 FTPRush 软件 中 , 右 击 右 侧 "本 地 窗口 ?中 的 mp3 文件 ,在 弹出 的 
菜单 中 选择 “传输 ”命令 上 传 该 mp3 文件 ,如 图 5-65 所 示 。 


0 2017-05-31 02:40:10 
0 2018-02-01 00:00:00 
0 2015-02-01 00:00:00 
0 2018-01-31 14:16:58 
D b 2018-02-01 09:41:44 


541 b 2018-01-29 15:28:56 

616 b 2018-01-31 14:16:51 

E IPS D525 LIC.lic 1.1 k 2017-12-19 09:52:54 
I| IPS D525 pd.enc 728 b 2017-12-19 09:53:04 
J Mozilla FireFox 724 b 2017-05-31 02:33:49 


后 运动 员 进 行 曲 mr3a —— —|—  — 5.8 M 2006-12-29 12:32:38 


b» mao o [our | 


t 0 Hi] Ju "| Ctrltü 
高 级 传输 功能 


图 5-65 ”上传 mp3 文件 


(27) 可 见 , 文 件 一 二 处 于 上 传 状态 中 ,无 法 真正 上 传 到 FTP 服务 硕 中 ,满足 预期 ,如 
图 5-66 Bro, 


€ FIP Rush  ftp://110. T9. 80. 100 


(1) 远程 窗口 ; ftp://110.79.80.100 t2) 本 地 窗口 


20 M 2015-12-10 ü8:12:00 TEE i ü 2017-05-31 02:40:10 


69.2 k 2007-05-17 01:53:00 ^ ü 2018-02-01 00:00:00 
0 2018-02-01 00:00:00 


0 2018-01-31 14:16:58 

2,0 M 2015-12-10 08:12:44 

541 b 2018-01-29 15:28:56 

616 b 2018-01-31 14:16:51 

IPS D525 LIC.lic 1.1 k 2017-12-19 09:52:54 
IPS D525 pd.enc 728 b 2017-12-19 03:53:04 
Bl. Mozilla Firefox 724 b 2017-05-31 02:33:49 
十 动员 进行 曲 ,mp3 5,8 M 2005-12-29 12:39:38 


| 00  1XfoHEHHBSMES | 0 目录 共 5,8 MFt 


AbDocuments and Setting f 


图 5-66 上传 文件 受阻 


219 


s 入 侵 检 测 与 入 侵 防 第 实验 指 杆 NM 


S. 不 允许 通过 FTP TF exe 类 型 文件 
CD 登录 实验 平台 对 应 实验 拓扑 中 左 侧 市 场 部 的 虚拟 机 WXPSP3 ,如 图 5-67 所 示 。 


RO ME | FF 
| WXPSP3. | 一 一 
| 172.16.7.100/24 市 场 部 | M 
| / TAcms( WebHg 55 28) : 
| 
| 110.69.70.100/24 
l | 
NN e ES | 
"———— Sá 1 " 
I | | ë =] 
n | | | 110.69.70.1/24 / —— «| 
I WXPSP3 ; 172.16.8.100/24 | | EAEG 
[ ] ION, GE2 C GE3 172.16,8.1/16 CX) Eshop( Web 服 务 器 ): 
— x% y - 人 110.69.70.200/24 
| m 技术 部 | IPS IEEE. 
| | HP | 一 一 一 
| 110.79.80.1/24 RENS 
| | " NNI: 
m 
| | a | W3SP2(DNS&FTPMail) 
l | 一 i 
c F : 
i | 2 ED 110.79.80.100/24 
I | 一 
I 
I | 
gB. = 
I = | 
EE | L— x 
| Yxems(WebHi 55 28) : | | — | 
| | — 


Kail 2.0: 110.79.80.200/24 


管理 机 : 10.0.0.22 


图 5-67 登录 左 侧 市 场 部 的 虚拟 机 WXPSP3 


(2) 在 市 场 部 虚拟 机 中 运行 FTPRush 软件 并 连接 FTP lt AF 110.79.80.100 ,在 左 
侧 的 “远程 窗口 ”中 , 右 击 calc.exe 文件 ,在 弹出 的 茉 单 中 选择 “传输 ”, 如 图 5-68 所 示 。 


(D 远程 窗口 ; ftp:/110.79.80.100 


传输 CT) CtrlfT E 
添加 选择 的 净 件 到 队列 Ctr1+g 
高 组 传输 功能 
Ema 
x Jes QD 
创建 目录 
交 件 权限 
复制 UEL 
Eana qn... 
复制 选择 的 女 件 名 
查看 净 件 F8 


图 5-68 F exe 类 型 文件 


(3) 传输 完成 后 ,在 右 侧 的 “本 地 窗口 ”中 可 见 下 载 的 calc.exe 文件 ,如 图 5-69 所 示 。 
(4) 在 “本 地 窗口 ”中 右 击 calc.exe 文件 ,删除 该 文件 ,如 图 5-70 所 示 。 
(5) 返回 管理 机 登录 入 侵 防御 系统 ,选择 “策略 ”一 "安全 策略 "菜单 命令 ,在 “安全 策 
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D EIA 0 2017-05-31 02:40:10 
Fd] ESEE 0 2018-02-01 00:00:00 
0 2018-02-01 00:00:00 

D 2018-01-31 17:18:14 

2.0 M 2015-12-10 08:12:44 

a DreamfMMail5 541 b 2018-01-79 15:27:29 
IJ FTPRush 616 b 2018-01-31 14:15:16 


) Mozilla FireFox 724 b 2017-05-31 02:39:49 
E 运动 员 进 行 曲 ,mp3 5.8 M 2006-12-29 12:39:38 


5-69 下 载 成 功 


0 2017-05-31 02:40:10 
ü 2018-02-01 00:00:00 
0 2018-02-01 00:00:00 
0 2018-01-31 17:18:14 


2.0 M 2015-12-10 08:12:44 

P ERO ctrltT ë f| | 841 b 2018-01-29 15:27:29 
MERRIA] Ctrl+g | 616 b 2018-01-31 14:15:16 
Sitare | 724 b 2017-05-31 02:39:49 

| 5.8 M 2006-12-29 12:39:38 


mFS EFI 


图 5-70 删除 下 载 的 文件 


格 ” 列 表 界 面 中 单 击 working 束 略 一 行 右 侧 “安全 业务 ” 列 中 的 “文件 控制 ”按钮 ,如 图 5-71 
Bra. 


EE d 
De XIBTfARR*E 


Em | Bekk | Hem 


any 


5-71 单 击 working 策略 右 侧 的 “文件 控制 ”按钮 


(6) 在 弹出 的 “编辑 文件 控制 ”界面 ,在 “策略 条 件 ” 一 栏 中 ,“ 文 件 控 制 ” 选 择 exe. 如 
图 5-72 所 示 。 
(7) 单 击 “ 确 定 ” 按 钮 ,返回 “安全 策略 ”界面 ,可 见 working 策略 一 行 中 的 文件 控制 按 
钮 已 点 亮 , 如 图 5-73 所 示 。 
(8) 再 次 登录 实验 平台 对 应 实验 拓扑 中 左 侧 市 场 部 的 虚拟 机 WXPSP3 ,如 图 5-74 
所 示 。 
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s 入 侵 检 测 与 入 侵 防 御 实 验 指 村 e 


描述 信息 | 添加 后 个 允许 修改 


策略 条 件 


E 
mE X tiv 
ze | ma | Bu | EET 


= 
# 
1 working any 
2 
à 
4 


图 5-73 ”安全 策略 列表 


a a a a a | IEEE. 
| WXPSP3 | mE 
| 172.16.7.100/24 市 场 部 | UL 
i TAcms( WebHld 55 H): 
| 。 
[ ] | 110.69.70.100/24 
| —À | 
NL. ..—m EE | X% 
ERES E E z IEEE. 
| 110.69.70.1/24. / | 一 一 
WXPSP3 172.16.8.100/24 EC 


GE2 GE3 LEM UD e Eshop( Web 服 务 器 ) : 
| N 110.69.70.200/24 


| 
| 
| 
l 
l 
l 
i 
技术 部 s | — 
l 
I | 110.79.80.124 " T 
I | a — 
| | s: 
| - / N3SP2(DNS&FTPMail) 
I | 三 服务 器 : 
| | E [OS ON 110.79.80.100/24 
| : 
| | = 
| 
| | C] 
| 
| [ | | 
| Yxems(WebHi 55 283) : | [三 | 
| 
I 172.16.8.200/24 | x Kail 2.0. 110.79.80.200/24 


管理 机 : 10.0.0.22 


图 5-74 再 次 登录 左 侧 市 场 部 的 虚拟 机 WXPSP3 


(9) 在 虚拟 机 中 运行 FTPRush 软件 的 界面 ,再 次 右 击 calc.exe 文件 ,在 弹出 的 保单 
中 选择 “传输 ”, 如 图 5-75 所 示 。 
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(1) 远程 窗口 : ftp:11110,73.,80,100 


2,0 M 2015-12-10 08:12:00 
69.2 k 2007-05-17 01:53:00 


Utrl*T 
OMERA] Ctrl+g 
高 组 传输 功能 
Ema F2 
删除 (D) Del 


创建 目 录 Ins 
世人 忻 椒 限 Ctrl+0 
复制 |URL 

称 动 到 (D... 
复制 选择 的 立 件 名 

EEr F8 
mim V E Ctrl+E 


图 5-75 下载 exe 类 型 文件 


(10) 此 时 会 一 二 显示 下 载 进度 ,并 在 右 侧 “ 本 地 窗口 ”中 创建 了 calc.exe XH, AX 
件 无 法 下 载 完 成 , 则 表明 该 文件 下 载 受 阻 ,如 图 5-76 所 示 。 


€ FIP Rush  ftp-//110. 79. 80. 100 


2.0 M 2015-12-10 08:12:00 Sw 0 2017-05-31 02:40:10 
69.2 k 2007-05-17 01:53:00 i 0 2018-02-01 00:00:00 
0 2018-02-01 00:00:00 
(O 我 的 立 栏 0 2018-01-31 17:18:14 
Bi E 
F DreamMail 541 b 2018-01-29 15:27:29 
616 b 2018-01-31 14:15:16 
724 b 2017-05-31 02:39:49 
&) 运动 员 进 行 曲 ,mp3 5,8 M 2005-12-29 12:39:38 


sib 4 目录 共 5.8 Mm 宇 节 , 297,2 5 Hg 


ng Passive Mode (110,73,80. 100,4, 1263. 
划 | 主机: 110.79.80.100 A: 1150 
alc.exe 


I [E calc.exe D 95 2,92KBps 5.7k 2.0M 


图 5-76 下载 文件 再 次 受阻 


(11) 通过 设置 安全 束 略 和 文件 控制 ,实现 对 上 传 和 下 载 文 件 类 型 的 安全 控制 ,满足 
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6. 对 文件 下 载 进 行 防 病毒 防护 

(1) 由 于 之 前 的 下 载 行 为 触发 了 入 侵 防 御 系 统 的 安全 防护 行为 ,因此 需要 等 待 3 分 
钟 左 右 的 时 间 ,FTPRush 软件 才 可 以 恢复 与 FTP 服务 天 的 正 贡 连接, 后续 实 验 步 又 中 明 
到 类 似 情 况 请 等 每 。 继 续 在 FTPRush 软件 界面 的 左 侧 “远程 窗口 ”中 , 右 击 hddkill.zip 
文件 ,在 弹出 的 荣 单 中 选择 “传输 ” ,下载 该 文件 ,如 图 5-77 所 示 。 


(1) 远程 窗口 ; ftp:/1110.79.80.100 


m a. 


x E | 


p aA e o oe E T a LL. 


AIEA PESIBARI Ctrl+g 
rene Fe S LH RE 


创建 目录 

TFR BE Ctrltü 
IRL 

aB] M)... 
TAERE 

AR — 
图 5-77 下 载 携带 病毒 的 文件 


(2) 传输 完成 后 , 右 侧 的 “本 地 窗口 ?中 可 见 下 载 的 携 市 病毒 的 文件 ,如 图 5-78 所 示 。 


0 2017-05-31 02:40:10 


0 2018-02-01 00:00:00 
0 2018-02-01 00:00:00 

0 2018-01-31 17:18:14 

541 b 2018-01-29 15:27:29 

de 616 b 2018-01-31 14:15:16 
35 hddkill.zip | 69,2 k 2007-05-17 01:53:06 
"8. Mozilla Firefox 724 b 2017-05-31 02:39:49 
运动 只 进行 曲 ,mp3 5,8 M 2006-12-29 12:39:38 


图 5-78 ”携带 病毒 的 文件 


(3) 在 "本 地 窗口 ?中 石 击 下 载 的 携 市 病毒 文件 hddkill.zip ,在 弹出 的 菜单 中 选择 “ 删 
除 ”, 将 该 文件 删除 ,如 图 5-79 所 示 。 

(4) 返回 管理 机 并 登录 入 侵 防御 系统 ,选择 上 方 导航 栏 中 的 “ 束 略 ”一 “安全 素 上 略 ” 六 
单 命 令 ,在 "安全 宁 略 ?列表 界面 , 单 击 " 十 "按钮 新 建安 全 宁 略 ,在 弹出 的 "新 建筑 略 ” 寞 面 ， 
“ 束 略 名 称 ” 输 入 virus. TE" RER — EP BJ UR bh a 9L «^ D IP 对 象 "选择 any, 如 图 5-80 
所 示 。 
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D 2017-05-31 02:40:10 
0 2018-02-01 00:00:00 
0 2018-02-01 00:00:00 
0 2018-01-31 17:18:14 


541 b 2018-01-29 15:27:29 

616b 2018-01-31 14:15:16 

| 69.2 k 2007-05-17 01:53:06 

| jun f£ (D CtrltT | 724 b 2017-05-31 02:39:49 

& 运动 员 进 漆 加 选择 的 净 件 到 队列 Ctrl+9 5.8 M 2006-12-29 12:39:38 
高 级 传输 功能 ,| 

AmA l p? | 

[x so 

创建 目录 Ins 


seasea L 


图 5-79 删除 携带 病毒 的 文件 


ERER virus 


mss | 添加 后 不 允许 修改 | 


一 策略 条 件 


E 目的 | mAy BA | URL 分 类 | 应 用 | 安全 业务 | 动作 


FPH any 


图 5-80 ”再 次 添加 安全 策略 


(5) 在 "策略 条 件 ” 一 栏 中 的 “目的 ?标签 页 “目的 IP EAR "SEE any ,如 图 5-81 所 示 。 

(6) 在 “策略 和 条件” 一 柱 的 “时 间 对 和 象 ”标签 页,“ 时 间 对 和 象 ”* 选 择 working, 如 图 5-82 
所 示 。 

(7) 在 “策略 条 件 ” 一 柱 的 “安全 业务 ”标签 页 ,“ 防 病毒 ”选择 virus, 如 图 5-83 所 示 。 

(8) 在 “策略 条 件 ” 一 栏 的 “动作 ”标签 页 “操作” 选择 “接受 ”选项 ,如 图 5-84 所 示 。 

(9) 单 击 “ 确 定 ” 按 钮 ,返回 “安全 寅 上 略 ” 界 面 ,可 见 添加 的 virus 安全 策略 ,如 图 5-85 
所 示 。 

(10) 继续 登录 实验 平台 对 应 实验 拓扑 中 左 侧 市 场 部 的 虚拟 机 WXPSP3, 如 图 5-86 
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TEZE virus | 
描述 信息 E 后 不 允许 修改 | 


一 ”策略 条 件 


iB 时 间 对 象 | 用 户 ”URL 分 类 | 应 用 | 安全 业务 | 动作 


目的 IP 对 象 ” | any 


mia | working Y 


图 5-82 “时 间 对 象 ” 选 择 working 


BI. 
(1D 在 虚拟 机 中 运行 FTPRush 软件 并 连接 FTP 服务 硕 110.79.80.100 ,在 左 侧 的 


“远程 窗口 ”中 , 右 击 hddkill.zip 文件 ,在 弹出 的 菜单 中 选择 “传输 ”, 如 图 5-87 所 示 。 

(12) 右 侧 的 “本 地 窗口 ”中 显示 下 载 了 同名 文件 ,但 该 文件 未 下 载 完 成 ,显示 处 在 传 
输 状 态 中 ,如 图 5-88 所 示 。 

(13) 通过 配置 安全 策略 和 防 病 毒 功 能 ,实现 对 携带 病毒 文件 的 安全 防护 功能 ,满足 
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| 添加 后 不 允许 修改 | 


Em | 目的 He ‖ me ouo | am | seus EA 


操作 (wi (ER 


5-84 “操作 ”选择 “接受 ?选项 
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m 入侵 检 测 与 入 侵 防 御 实 验 指 证 IE 


TERE 


xps 
c» mood "di 
"bz mds We WE dS 
3 me.» 
^c» mos € "e gs 
ER Eds E GU 


图 5-85 添加 的 virus 安全 策略 


"uc TC" WEM MIN | 

I WXPSP3. | — — 

| — 172.16.7.100/24 市 场 部 | / 

l | 74cms( Web] 25 88) . 
| [ ] | 110.69.70.100/24 
| E xm | | 

M Hl S | /| 3& X 

—— ——n€— DR —1 | , FF 

i / [€ 

I WXPSP3 : 172.16.8.100/24 | Da 一 一 

l arj: .16.6. 10 |^ | -| 

I | lul 

l — | In 

| [ ] — x y T 110.69.70.200/24 

O EU 技术 部 | B di — 

| | 

i 110.79.80.124 ` mem 

| | o um | 

| | z 

i | - W3SP2(DNS&FTPMail) 
| | = 服务 器 : 

| | - LSN 0798010024 

l : 

| | TS 

| | 

| 

| | em zx 

| Yxems(WebHi 55 28) : | 

I | — pee 

l 172.16.8.200/24 | E Kail 2.0. 110.79.80.200/24 


管理 机 : 10.0.0.22 


图 5-86 ”继续 登录 左 侧 市 场 部 的 虚拟 机 WXPSP3 


(1) 远程 窗口 ; ftp:J/110.79.80.100 


| calc exe | 2,0 M 2015-12-10 08:12:00 
--]hddkill. zip EE uum CtrltT 2007-05-17 01:53:00 
SRDDIZEERU SC PESIBAS] CtrltQ 


TSET fe En RE 


重 命名 
mis qo 


图 5-87 ”再 次 下 载 携带 病毒 的 文件 


228 


€ FIF Rush  ftp-//110. 78. 80. 100 


Ir Ftp:/f 110,73, 8U. 100 | 
(1) iot: ftpniig 79.80 10ü 


e,0 M 2015-12-10 08:12:00 3 ü 2017-05-31 02:40:10 

hddkill.zip 65.2 k 2007-05-17 01:53:00 ü 2018-02-01 00:00:00 
| D 2z018-02-01 00:00:00 

ü 2018-01-31 17:18:14 

541 b 2018-01-29 15:27:29 


a MM mp3 


piut 4 目录 共 5.8 MET, 297.2 G 剩余 ea 


[T] AR 20070516175306 
[T] PASY 


u y Enierin Passive Mode (110,78,80, 100, 4, d 
EEEREN: 110.79.80.100 GL: 1167 

u mi. hdd ill. 

[T] 125 Data Connect ien already open: Transfer stariinz. 


图 5-88 XABXCEXTASUER 


7. 指定 时 间 段 内 技术 部 市场 部 均 不 能 使 用 FIP 上 传 、 下 载 文 件 

(1) 返回 管理 机 并 登录 人 侵 防 御 系 统 Xe YE 71 SEUES P A R mU EROR WE Oe 
单 命 令 ,在 "安全 人 梨 略 ?列表 中 单 击 " 十 ?按钮 ,在 弹出 的 “新建 和 略 ”界面 中 ， 沫 略 名 称 ” 输 
入 app. TE" REEZR DE" — FB] ^ UR" by A Va UR IP 对 象 ” 选 择 any, 如 图 5-89 所 示 。 


策略 名 称 app 


描述 信息 | 瀛 加 后 个 允许 修改 | 


策略 条 件 


= e 时 间 对 象 用 户 URL 分 类 | 应 用 sews | mE 


图 5-89 新 建安 全 策略 
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(2) 在 “ 束 略 条 件 ” 一 栏 的 “目的 ”标签 页 ,“ 目 的 IP 对 象 ?选择 any, 如 图 5-90 所 示 。 


目的 IP 对 象 any 


M 


目的 域 


目的 动态 地 址 集合 (组 ) 


5-90 “目的 IP 对象” 选择 any 


(3) ÆRE ZI TE" — E BJ "FE E T ZU b AE D." BE [RE AR" 6E working. 如 图 5-91 
所 示 。 


ERE | app | 
描述 信息 | 添加 后 不 允许 修改 | 


SB 


”策略 条 件 


图 5-91 “时 间 对 象 ? 选 择 working 


(4) 在 “策略 条 件 ? 一 栏 的 “应 用 ?标签 页 “应 用 对 象 ?选择 ftp, 如 图 5-92 所 示 。 
(5) 在 “策略 条 件 ” 一 栏 的 “动作 ”标签 页 “操作 ?选择 “丢弃 ?选项 ,如 图 5-93 所 示 。 
(6) 单 击 “确定 ”按钮 ,返回 "安全 策略 ?界面 ,可 见 添 加 的 app 安全 策略 ,如 图 5-94 
所 示 。 
(7) 添加 的 app 策略 与 working 策略 同属 于 粗 粒 度 策略 ,因此 需要 将 app 策略 上 移 。 
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描述 信息 添加 后 不 允许 修改 | 


一 策略 条 件 


5-92 “应 用 对 象 ”选择 ftp 


策略 名 称 | app 


EB | 添加 后 不 允许 修改 | 


一 策略 条 件 


E | 目的 | Mas 用户 URL 分 类 | 应 用 


5-03 ”操作 选择 “丢弃 ”选项 


| tiM ^ 
s TRXARtIER G lals 
" us | ! ; > 
working ary an 1 L g zl ud g w B. 


coms e Wem 
4c moo» wW 
4 cs mc gn 
x Gp mos We o" ims 
Wo m 6s Wo -. gn 


5-94 添加 的 app 安全 策略 


单 击 app 策略 ,再 单 击 置顶 按钮 ,如 图 5-95 所 示 。 
(8) 单 击 “ 置 项” 按钮 后 ,会 弹出 确认 框 , 单 击 “ 确 定 ” 按 钮 即 可 ,如 图 5-96 所 示 。 
(9) 单 击 " 确 定 " 按 钮 ,返回 "安全 策略 ”界面 ,可 见 app 策略 已 置顶 ,如 图 5-97 所 示 。 
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3 moms 6 WW 
3 cà 5 Wow 
* à oues OW G 
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B wx wo mm =| #| g 


RESANRRIRG ? 


WE || w 


5-96 Nui RE” He 


安全 策略 


EERE 
! 国 呈 兴国 音量 于 时 


TELS 
* c mode C 
Wk C nED 4 WEOWE RS 
AUR Rm We S i 
cg mo UN E 
LIS PESE TE 
Wc m Ww gi 


ES 
z 
1 
2 
3 
4 
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图 5-97 app 策略 已 置顶 


(10) 重新 登录 实验 平台 对 应 实验 拓扑 中 左上 方 市 场 部 的 虚拟 机 WXPSP3 ,如 图 5-98 
所 示 。 


WXPSP3.: 


172.16.7.100/24 市 场 部 


74cms( WebH 5 23) : 
110.69.70.100/24 


110.69.70.1/24 


Lors 

EI 

110.79.80.1/24. ^ - 
i 


W3SP2(DNS&FTPMail) 


[E EB 
110.79.80.100/24 


- | M 110.69.70.200/24 
| ah 
m 
三 
pam] 
-一 r 


Kail 2.0. 110.79.80.200/24 
管理 机 : 10.0.0.22 


图 5-98 重新 登录 左上 方 市 场 部 的 虚拟 机 WXPSP3 
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(1D 在 虚拟 机 中 运行 ETPRush 软件 连接 FTP 服务 器 110.79.80.100 ,可 见 一 直 无 法 
连接 ,如 图 5-99 所 示 。 


€ FIF Rush  ftp://110. T9. 80 


二 小 | 日 期 


0 2017-05-31 02:40:10 

0 2018-02-01 00:00:00 

D018-02-01 O00:00:00 

0 2018-01-31 17:18:14 

541 b 2018-01-29 15:27:29 

616 b 2018-01-31 14:15:16 

2,9 k 2018-02-01 11:24:23 

LJ Mozilla FireFox 724 b 2017-05-31 02:39:49 
&) 运动 员 进 行 曲 ,mp3 5,8 M 2006-12-29 12:39:38 


tEl4 p RP IS EAn UL A DEL PEPPER EE tpi 110, 73,80, :00 


p: ME PE T 100 
A. 
| 


5-99 ”再 次 无 法 连接 FTP BE ir 


(12) 通过 配置 安全 策略 和 应 用 管理 ,实现 对 应 用 的 安全 控制 ,满足 预期 。 


8. 对 包含 敏感 字段 personid 的 页 面 进行 管控 

CD 返回 管理 机 并 登录 入 侵 防御 系统 ,选择 上 方 导航 栏 中 的 “策略 ”>“ 安 全 策略 ” 菜 
单 命令 ,在 “安全 策略 "界面 中 ,将 所 有 的 安全 策略 均 单 击 一 次 ,使 策略 变 为 蓝 包 选 中 状态 ， 
再 单 击 磊 按钮 删除 所 有 安全 策略 ,以 便 进行 后 续 实 验 , 如 图 5-100 所 示 。 


WE G3 mié WOW ds 
Wu mg). WO ds 
LAE Ea BE 
LAEE E 
tamrn 
WE km)p le RE CUN Gn 


图 5-100 选中 所 有 安全 策略 


(2) 单 击 营 按 钮 后 ,在 弹出 的 确认 删除 提示 框 中 再 单 击 "确定 ?按钮 ,如 图 5-101 
所 示 。 


确定 要 删除 策略 对 和 象 吗 ? 


5-101 删除 策略 确认 提醒 
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(3) 蛙 击 “确定 ”按钮 ,返回 “安全 策略 ” 寞 面 ,可 见 所 有 的 安全 束 略 已 删除 ,如 图 5-102 
所 示 。 


imm 
?eX-tiTi 


图 5-102 返回 "安全 策略 ”界面 


(4) 登录 左上 方 市 场 部 的 虚拟 机 WXPSP3 ,如 图 5-103 所 示 。 


———— ————————————— P ——— P | A. 
WXPSP3 ; UL” 
172.16.7.100/24 市 场 部 一 > 


Ox 
& 

3 

A, 

3 
E 
ds 
8 


—————— =} A. 
1WXPSP3 , 172.16.8.100/24 | J 一 一 

i SP3. .16.8. | | - 

| | ' 
[ ] | GE2 CJ GE3 172.16.8.1/16 GO Eshop( Webi 55 23) : 
I — 3X x | 一 一 一 WP 110.69.70.200/24 
| i 

| | 110.79.80.1/24 — 

I | " 79.80. 一 一 

| | s 

| - W3SP2(DNS&FTPMail) 
| | = | 服务 器 : 

| | = ER 110.79.80.100/24 
| | Z 

l 

I 一 | 

RB - 
| | =| | 

| Eao | 1c 

I — z= 

| Yxems(Web 服 务 器 ): | 

| i 一 

172.16.8.200/24 | E Kail 2.0. 110.79.80.200/24 


管理 机 : 10.0.0.22 


5-103 登录 左上 方 市 场 部 的 虚拟 机 WXPSP3 


(5) 在 虚拟 机 桌面 上 双击 Firefox 软件 快捷 方式 ,运行 火狐 浏览 
(6) fru v asd HET rp dA www.74cms.com ,网 站 可 正 篆 访问 ,如 图 5-104 所 示 。 


招聘 信息 ë WERE ”求职 信息 RLE 招聘 会 ”新闻 资讯 ”会员 中 心 


Zi Bim: 贺 站 首页 


igi tS: 0 me. 0 有 就 简 历 ， 0 aS 0 Lx 蕊 填写 简历 


E E 
请 入 六 职位 名 称 . 任 司 名 称 。 技能 特长 、 学校 等 基 键 字 .… 咏 近 更 新 职 慢 。 ”写字 楼 搜索 职位 is : 


Ah 1XuiT: iEdus 销售 经 理 dl HSLP HBE 这 路 搜索 职位 PeiniRiISR4u 


最 新 下 载 简历 淮 下 载 了 我 的 简历 马上 登录 专 看 。 本 周 热 点 职位 E3 


5-104 ”网 站 可 正常 访问 
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(7) 在 网 站 首页 最 下 病 可 见 敏 感 内 容 Personid, 如 图 5-105 所 示 。 


TE mE EAM DEE PAm IAH AERD) 


| E REPARA R ee x N 


^u 5s 
€ CE) www. Tácns. com 


职业 指导 


友情 链接 : 骑士 cms 官 方 站 [申请 支 情 连 接 ] 


设 为 首页 | 加 六 收藏 BiEXIBIBEEXÓSH 
Emeak D0 省 的 市 00 路 上 号 0 二 了 荐 上 楼 了 棋 系 电话 : 000-00000000 Aae. itp000000000 
Copyright e 2010 Tiems. com ATI Right Resened personis | 


图 5-105 页面 中 包含 敏感 内 容 


(8) 返回 管理 机 并 登录 和 人 侵 防 御 系 统 , 选 择 上 方 导 航 栏 中 的 “策略 ?一 “安全 策略 ” 沫 
单 命令 ,在 “安全 策略 ”一 栏 中 单 击 “ 十 ”按钮 ,在 弹出 的 "新建 策略 ”界面 中 ,“ 策 略 名 称 ” 输 
A any, 在 “策略 条 件 ” 一 栏 的 “ 源 ? 标 签 页 “ 源 IP 对 象 ? 选 择 any. WE 5-106 所 示 。 


FEE | any 
mE | 添加 后 不 允许 修改 | 


目的 | 时 间 对 象 | 用 户 | URL 分 类 | 应 用 | 安全 业务 | 动作 


— SENATE 


| any 


图 5-106 “ 源 全 对象 ”选择 any 
(9) 在 “策略 条 件 ” 一 栏 的 “目的 ?标签 页 “目的 IP 对象” 选择 any, WE 5-107 所 示 。 
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策略 名 称 


描述 信息 | RISACHER | 


一 ”策略 条 件 


B 时 间 对 象 | 用 户 | URLSSÉ | 应 用 | 安全 业务 | 动作 


目的 IP 对 象 。 any 
目的 域 | 


目的 动态 地 址 集合 (组 ) 


图 5-107 “目的 I 对象 ”选择 any 


(10) 在 “策略 条 件 ? 一 栏 的 “安全 业务 ?标签 页 “数据 过 滤 ?选择 person, 启 用 敏感 数 
据 过 滤 功 能 ,如 图 5-108 PEFR. 


描述 信息 | 添加 后 不 允许 修改 | 


策略 条 件 


URL 分 类 | 应 用 MEEESUM 动作 


5-108 数据 过 滤 选 择 person 
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(1D fE" RR AR UE" —FRU" ME" b AS vi "RITE" VETE" Bee e. DE] 5-109 所 示 。 


策略 名 称 any 


描述 信息 | 添加 后 不 允许 修改 | 


策略 条 件 


源 | 目的 | 时 间 对 象 | 用 户 | URL 分 类 | 应 用 | 安全 业务 Ea 


操作 @0 OZS 


图 5-109 “操作 ”选择 “接受 ”选项 


(12) 单 击 “ 确 定 ” 按 钮 ,返回 “安全 梨 略 "界面, 可见 深 加 的 any 安全 生 上 略 , 如 图 5-110 所 示 。 


TERN 
Ei E+ htt 


* x mW € 


5-110 ”添加 的 any 安全 策略 


(13) 重新 再 次 登录 实验 平台 对 应 实验 拓扑 中 左上 方 市 场 部 的 虚拟 机 WXPSP3. All 
图 5-111 所 示 。 


WXPSP3 : 
172.16.7.100/24 市 场 部 


"Acms( Webflg 4 88) . 
110.69.70.100/24 


— — — — — e — — 


| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 


110.69,70.1/24 / 


| 

| 

| GE2 C GE3 172.16.8.1/16 | Eshop( Web 服 务 器 ) : 
- x. ES 110.69.70.200/24 

| | ra s 

D | unu 

| 


| 

| 

| 

| 

l 

i ù, -ia 

BEANE 一 一 

l 

I | 110.79.80.1/24. N EK: 

| | P | L| 
| Fri F; 

| z / N3SP2(DNS&FTPMail) 

I | z “e Y 务 器 : 

I | = IER. 110.79.80.100/24 

' | 

i | x 

| | 

- 
| 

—x— 

| Yxems( WebBg 55 88) . | 

| 

l 172.16.8.200/24 | Ix Kail 2.0. 110.79.80.200/24 


管理 机 : 10.0.0.22 
图 5-111 重新 再 次 登录 左上 方 市 场 部 的 虚拟 机 WXPSP3 
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(14) 在 市 场 部 虚拟 机 中 再 次 运行 Firefox 浏览 器 ,在 地 址 栏 中 再 次 输入 www. 
74cms.com, 网 站 不 能 正常 显示 (如 果 显 示 部 分 网 页 内 容 , 则 是 浏览 颖 中 的 网 页 缓存 内 
容 ) ,一 直 显 示 正 在 传输 数据 ,如 图 5-112 所 示 。 


招聘 信息 ë mhk ë 求职 信息 
2i Wim. 网 站 首页 


Ce 填写 向 历 


| l Gm BEER 
HARGS GASE pube. SibEDESUE. i 员 近 更 新 职位 SFÉRE 


A^ XRF: imu HESE 党 计 销售 工程 师 TÉEHUR 这 路 搜索 职位 按 标 客 搜索 最 也 


”最新 下 载 阐 历 谁 下 载 了 我 的 简历 ? 马上 登录 查看 
|BAB. | 


图 5-112 再 次 访问 网 站 
(15) 通过 设置 安全 策略 和 敏感 内 容 过 小 ,实现 对 包含 敏感 内 容 的 数据 进行 过 滤 和 阻 


9. 过 沽 垃圾 邮件 、 含 病毒 邮件 
(1) 登录 实验 平台 对 应 实验 拓扑 中 右上 和 角 的 虚拟 机 74CMS ,如 图 5-113 Bron - 


= IEEE. 
| WXPSP3 | — 
I | e : 
| — 172.16.7.100/24 市 场 部 | | 
| 

| 74cms(Web 服 务 器 ) ， 
I | 110.69.70.100/24 
NET... ME ERES | T 
poete Y m 
2 o | 110.69.70.1/24 [一 一 
IWXPSP3: 172.16.8.100/24 | EN 
l | 
E A 172.16.8.1/16 Eshop( Web 上 服务 器 ): 
NY xX Toa 
| E .69.70.200/2 
I I 1.2 IPS 
b ib 区 
I 
| | 110.79.80.1/24 
| - 

| trj 
| " W3SP2(DNS&FTPMail) 
l | = d RAR : 
l | - LN no393010024 
| | 一 ^ 
l 
| IEEE. | 
LIT | [ ] 
| [ | 
epe. | | L— 
|. Yxems(WebW? 55 88) : | E 
l . : | 
| 172.16.8.200/24.- | -一 - Kail 2.0 110.79.80.200/24 


管理 机 : 10.0.0.22 


图 5-113 登录 右上 角 的 虚拟 机 74CMS 


(2) 在 虚拟 机 曲面 中 双击 DreamMail5 快捷 方式 ,运行 邮件 客户 端 , 如 图 5-114 所 示 。 
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(3) 在 邮件 客户 端 界 面 中 单 击 “ 写 新 邮件 ”按钮 ,编写 新 邮件 ,如 图 5-115 所 示 。 
(4) 在 编写 邮件 界面 ,“ 收 件 人 ”输入 user. “主题 "输入 “商品 ”,“ 邮 件 内 容 ” 输 入 任意 
内 容 , 但 要 包含 “商品 ?字样 ,如 图 5-116 所 示 。 
Wr 


«e z 
ABS | fj Ẹ hp S tu dy 


p?) i] PLA: 
Baia Ev ias a Li RA, : 


im 


DreamMail5 


接收 发 送 ”| 写 新 邮件 ‖ 4 djifakdjfjeifaidjfkefj 
图 5-114 ATEA P 图 5-115 ”编写 新 邮件 图 5-116 ”编辑 邮件 
(5) 再 单 击 上 方 菜单 栏 中 的 “添加 附件 ”按钮 ,在 弹出 的 “打开 ”界面 ,选择 桌面 上 的 


“O00BC8E18535C89A5AA6868BDB3558850.9BE6AC99” 含 病毒 文件 , 单 击 “ 打 开 ” 按 钮 ,如 
图 5-117 FER. 


[ 司 我 的 文档 
$ 是 我 的 电脑 
Es Wgi rst 
€ [4 Dir e amMail5 
5. Mozilla Firefox 


S I E Notepadtt 
H3 SR E 


KAINA 


[ [- Qui exe SEJ4. gpEOeACOO Af 


: 修改 日 期 : 2016-11-24 13:05 
« Eis phps5tudy 大 小 : 32.9 KB 
我 的 电脑 du Search Everything 


< 
"T! 
同上 邻居 


Afr H): DOBCSGE19535C89A5AABODOBDB3559850, 95EG T 


文件 类 型 D): EE | 
Hs 5-117 打开 含 病毒 的 文件 


(6) 单 击 “打开 ”按钮 ,返回 邮件 编写 界面 ,附件 已 添加 ,再 单 
按钮 发 送 该 邮件 ,如 图 5-118 Brzn . 

(7) 登录 实验 平台 对 应 实验 拓扑 中 左上 方 市 场 部 的 虚拟 机 WXPSP3, 如 图 5-119 
所 示 。 

(8) 在 虚拟 机 中 运行 DreamMail 邮件 客户 端 , 并 单 击 左 上 角 的 "接收 发 送 ? 按 钮 ,可 收 
取 到 由 ad(2360.com 发 送 的 含 病毒 和 “商品 ”字样 的 邮件 ,如 图 5-120 所 示 。 
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ad <ad@360. com? w 附件 列表 | 


[| user - 可 ÜDBCSEI18535C88AS AADOBBBDB355885. f. 


limes Hew Rome 


商品 
diifakdifjeifaidjfkefj 


图 5-118 ”发送 邮件 


CR | F Y 
| WXPSP3; | — 
| 172.16.7.100/24 市 场 部 ， s 
| TAcms( WebHld 55 H): 
[ ] | 110.69.70.100/24 
l Eee | 
| IN | X, 
————————————À —1 A 
; m 
I | 110.69.70.1/24 一 一 
IWXPSP3: 172.16.8.100/24 | IÉ— 
l | 2 
l | 172.16.8.1/16 CD Eshop(Web 服 务 器 ) . 
l uM 
i I expo! 
O TET 技术 部 | — 
l 
| 110.79.80.1/24 | 
| | EN 
| 
| W3SP2(DNS&FTPMail) 
| | 服务 器 : 
| | EA 110.79.80.100/24 
| | 
|. Em [ ] 
| | e | LL | 
EE | = 
| Yxems(WebBg 55 28) : | 
l ] 
| 172.16.8200/24 | Kail 2.0; 110.79.80.200/24 


管理 机 : 10.0.0.22 


图 5-119 ”登录 左上 方 市 场 部 的 虚拟 机 WXPSP3 


= DreamEail 一 [user] 
IB - 邮件 HE ë ERA 


国 口 T E) d 
B &G GG XA ASNA 9 bB s. 
EA St SEES mE Pk Me 打印 WE 分 类 SARE DSA MER Eso T—ddk MEES , M 
| A gi 3j P i bi u yi xi ^ 
EIS A 全 部 的 邮件 ~ EET àT| — -agHm ^ 6v 


器 = . a 
C 搜索 邮件 来 排序 ， 时 间 | Jara v| GOLA: (rad CadE3BU. com? 2018-2-2 09:49:50 


as AGER | | WHA: ruser Cuserü3B0. com? 
国 三 天 内 未 回复 (1) 日 时 间 : S Hit, ioti | 


22 ET 2015-02-02 | EHD) [E DDBEBE18535COGASAABGSSBDE3S5885n. SBEGACI9 (33 K) 


商 m E 


E Ph userü3BD. com [1] 


ERAR i) 区 HR 
[s FEAR | aisi eifaidjfkefj 


加 已 发 邹 件 
(8) ri aE 


图 5-120 ”接收 邮件 


(9) 返回 管理 机 并 登录 入 侵 防 御 系 统 , 在 上 方 导航 栏 中 选择 “策略 ”一 “ 防 垃 圾 邮件 S 
病毒 ” 荣 单 命令 ,显示 相关 的 配置 信息 ,如 图 5-121 所 示 。 
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NGIPS 
ABI 


SMTPHETS 


POPOMCEL 


Int A prem RED 


图 5-121 进入 防 垃圾 邮件 © 病毒 


(10) 在 “ 绑 定 ACL” 一 栏 中 ,ACL 选择 any, 再 单 击 右 侧 的 “十 ?按钮 ,将 其 加 入 下 方 
HJ" ACL 列表 ”中 , 单 击 “确定 ?按钮 保存 设置 ,如 图 5-122 所 示 。 


AcCL 列 表 | amy | | ü 


图 5-122 8p; ACL 


(11) ÆA MAy“ m O i E” BI SMTP 代理 端口 "输入 25," POPS 代理 端口 ? 输 
A 110, 单 击 “ 确 定 ? 按 钮 保存 设置 ,如 图 5-123 所 示 。 


miza 


SMTP Em | 25 | 
POPEO | 110 | 


IMAP REEL | 


图 5-123 配置 端口 


AD 单 击 “ 防 垃 圾 邮件 & 病毒 "界面 中 的 “ 防 病毒 "标签 页 ,在 “ 防 病毒 过 滤 设 置 "一 
栏 中 ,过 滤 动 作 ” 选 择 * 隔 离 ”, 单 击 “ 确 定 "按钮 即 可 ,如 图 5-124 所 示 ， 


图 5-124 防 病 毒 过 滤 设 置 
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(13) 单 击 " 基 于 邮件 代理 的 过 涯 设置 "一 位 右 侧 的 ”按钮 ,展开 设置 ,选中 "病毒 过 
小 协议 ”中 的 全 部 内 容 , 并 单 击 “ 确 定 ” 按 钮 保存 设置 ,如 图 5-125 所 示 。 


Smd M SMTP 图 POP3 (vf IMAP 


图 5-125 ”设置 邮件 代理 过 滤 


(14) 单 击 " 基 于 协议 识别 的 病毒 过 滤 设 置 ?一 栏 右 侧 的 ”人 / ?按钮 ,展开 设置 , 单 击 其 
中 的 “十 ”按钮 添加 规则 ,如 图 5-126 所 示 。 

(150 在 弹出 的 “基于 协议 识别 的 病毒 设置 "界面 中 ,ACL 选择 any,“ 选 定 的 过 小 策略 
列表 ”选择 SMTP、POP3、IMAP, 如 图 5-127 Brzn , 


ACL | any = 


PexER JI e RR 2 SMTP, POP3, IMA* 


图 5-126 添加 协议 识别 规则 图 5-127 配置 协议 识别 规则 


(16) 单 击 “ 确 定 ” 按 钮 ,返回 “ 防 垃 圾 邮件 S 病毒 ”界面 ,在 “基于 协议 识别 的 病毒 过 
滤 设 置 ? 一 栏 可 见 添 加 的 规则 ,如 图 5-128 所 示 。 


图 5-128 协议 识别 病毒 过 滤 规 则 


(17) 单 击 * 防 垃圾 邮件 O 病毒 ?界面 中 的 “ 防 垃圾 邮件 ?标签 页 ,在 “关键 字 ? 一 栏 中 
单 击 “ 十 ”按钮 添加 垃圾 邮件 关键 字 , 如 图 5-129 所 示 。 

(18) 在 弹出 的 “关键 字 ” 界 面 ,“ 关 键 字 组 ”输入 key." c HE 
字 ” 一 栏 中 的 文本 框 中 输入 “商品 ”并 单 击 “ 添 加 ”按钮 ,将 “商品 ” 
添加 到 “关键 字 列 表 ” 中 ,如 图 5-130 所 示 。 

(19) 单 击 POP3 一 栏 右 侧 的 “ ”按钮 ,展开 设置 , 单 击 ^ POP 图 5-129 单 击 “十 ”按钮 
过 滤 ” 按 钮 将 其 设置 为 ON, 在 “邮件 监控 ”一 栏 中 ,“ 按 收 件 人 隔 
离 交 按 发 件 人 隔离 ? 均 选 择 key , 均 选 中 下 方 的 “ 阻 断 ”; 在 “POP3 垃圾 邮件 识别 ”一 栏 中 ， 
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图 5-130 ”添加 垃圾 邮件 过 滤 关 键 字 


“主题 关键 字 ”“ 正 文 关 键 字 ” 均 选 择 key, 勾 选 “ 邮 件 检查 ”中 的 全 部 内 容 ,“ 处 理 动 作 ” 选 择 
“ 阻 断 ”。 单 击 “ 确 定 ?” 按 钮 保存 设置 ,如 图 5-131 所 示 。 


ma E o 


邮件 大 小 限制 
| BbPERIST | 


邮件 监控 


BOETEARE | key 
bw BH: (SEL M REED) 


POP3tErB iie RM 


— I QOEM THECA emm ERN 
IH Roc -| PEE -| —— mme | o 
HERSE MIRAE M 主 题 有 效 性 检查 图 恶意 代码 识别 


处 理 动 必 OBfi Ot ®@ EE 


图 5-131 配置 POP3 监控 设置 


(20) 在 “ 防 垃 圾 邮件 C- 病毒 界面 中 的 “ 隅 离 设 置 ?标签 页 中 “隔离 邮件 存放 位 置 选 
择 ” 选 中 “ 便 盘 ”, 单 击 “ 确 定 ” 按 钮 保存 设置 ,其 他 保持 默认 选项 即 可 ,如 图 5-132 Brzn 。 


图 5-132 ”配置 隔离 设置 


243 


入 侵 检 测 与 入 侵 防 御 实 验 指 寻 | 


(21) 登录 实验 平台 对 应 实验 拓扑 中 右上 角 的 虚拟 机 74CMS ,如 图 5-133 PTR. 


_ LLL LLL LLL EA 
| WXPSP3 | 一 一 
| ei: 
| 172.16.7.100/24 市 场 音 | L 
I [ ] | TAcms( Web 55 H): 
| | | 110.69.70.100/24 
EK... PR | x, 
gum Å- = -e c cS RR UR CR IX I — — ‘M — | 
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管理 机 : 10.0.0.22 


图 5-133 登录 右上 角 的 虚拟 机 74CMS 


(22) 在 虚拟 机 中 运行 DreamMail 邮件 客户 端 ,在 软件 界面 左 侧 的 “已 发 邮件 ”中 显示 
已 发 送 的 邮件 , 单 击 该 邮件 ,在 弹出 的 羔 单 中 选择 “编辑 副本 (保留 原 邮 件 )”, 如 图 5-134 
Br. 
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imie  SAAHNF ”全 部 回复 ”回复 HE 册 除 打印 | 批注 S% 后续 标记 DARE | 法 滤器 ea å FPR 邮箱 管理 PIT. 
T T i = M m o D hi m P^ 
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c 全 部 回复 GO CtrltR 
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93 EARNE E 


局 垃圾 邮件 
也 添加 批注 


图 5-134 再 次 编辑 邮件 
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(23) 在 弹出 的 邮件 编辑 界面 ,随意 调整 主题 和 邮件 内 容 , 但 要 包含 “商品 ?字样 , 单 击 
左上 和 角 的 “立即 发 送 ” 按 钮 发 送 邮 件 , 如 图 5-135 所 示 。 
(24) 重新 登录 实验 平台 对 应 实验 拓扑 中 左上 方 市 场 部 的 虚拟 机 WXPSP3, 如 图 5-136 
所 示 。 
(25) 在 虚拟 机 中 运行 DreamMail 邮件 客户 端 ,并 单 击 左上 角 的 “接收 发 送 ” 按 钮 ,下 
方 的 “收发 状态 ”中 显示 没有 邮件 可 被 接收 ,如 图 5-137 所 示 。 
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5-135 ”编辑 邮件 并 发 送 


CR 人 
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管理 机 : 10.0.0.22 


5-136 重新 登录 左上 方 市 场 部 的 虚拟 机 WXPSP3 


(26) 返回 管理 机 并 登录 和 人 侵 防 御 系 统 , 选 择 上 方 寻 航 栏 中 的 “ 采 略 ”一 防 垃 圾 邮件 
&. 病毒 ”~“ 隔 离 设置 "菜单 命令 ,在 下 方 的 “邮件 信息 ”一 栏 中 可 见 被 隅 离 的 含 病 毒 邮件 ， 
如 图 5-138 所 示 。 

(27) 通过 配置 防 垃 圾 邮件 关键 字 和 病毒 配置 ,实现 了 对 垃圾 邮件 过 滤 和 病毒 安全 防 


10. x 5h p» FH A Z xe BJ d ia] 32 HA 3E 1T 75 EP 
CD 选择 上 方 导 航 柱 中 的 “策略 ”一 “安全 东 略 ”菜单 命令 , 单 击 any 安全 策略 一 栏 右 
侧 “ 安 全 业务 ”中 的 入 侵 防 护 按钮 ,如 图 5-139 所 示 。 
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5-137 ”无法 接收 邮件 
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5-139 Mh any 安全 策略 


(2) 在 弹出 的 “编辑 入 侵 防 护 ” 界 面 ,“ 入 侵 防 护 ” 选 择 ips, 如 图 5-140 所 示 。 
(3) 单 击 “ 确 定 ” 按 钮 ,返回 “安全 策略 ”列表 ,可 见 any 安全 策略 一 行 右 侧 “ 安 全 业务 ” 
中 的 入 侵 防 护 按钮 已 点 腕 ,表明 策略 已 生效 ,如 图 5-141 所 示 。 
(4) 再 次 登录 实验 平台 对 应 实验 拓扑 右 下 侧 的 Kali 2.0 虚拟 机 (用 户 名 /密码 . 
246 


mu—— 0 50 €x — 综合 课程 设计 mmm 


FREF | any 


描述 信息 ”| 添加 后 不 允许 修改 
一 策略 条 件 一 


5-140 选择 ips 


图 5-141 安全 策略 列表 


“root/123456”) ,如 图 5-142 所 示 。 
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5-142 再 次 登录 右 下 侧 的 Kali 2.0 虚拟 机 


(5) 单 击 虚拟 机 喝 面 中 左 侧 工具 栏 中 的 冰山 浏览 器 快捷 方式 ,运行 冰 盎 浏览 需 , 如 长 
时 间 未 登录 , 须 输 入 密码 123456( 用 户 名 为 root) 登 录 系 统 。 
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入 侵 检 测 与 入 侵 防 御 实 验 指导 NEN 


(6) ÆN Ua BJX dE E P d AP IR A as BJ IP 地 址 172.16.8.200, 可 正常 浏览 网 页 
信息 ,表明 服务 器 及 网 络 工 作 正 常 ,如 图 5-143 所 示 。 


Yxcms 是 一 艇 高 效 .灵活 ,实用 ,免费 的 企业 建 . phaleon 一 个 PHP+C 的 后 台 杠 架 


站 系统 ,基于 PHP 和 mysql 技 术 ,让 您 拥有 更 加 专业 a, phalcon Phalcon 是 开源 、 全 功能 栈 、 使 用 C 扩展 编写 、 针 对 高 性 能 优化 的 
^, 050 MENSAE RRSAMIERERS. RAZNE qe PHP 5 框架 。 开发 者 不 需要 学 习 和 使 用 C 语言 的 功能 ， 因 为 所 有 


PHP , STE | ET: 
S: BERAS AREN. DOIT TER 的 功能 都 以 PHP 2875 CI BLUR, TUAREA 


站 数据 达到 百 万 级 负载 .有 果 用 功能 与 显示 分 离 设 一 
计 ， 灵 活 的 标签 库 和 任意 拓展 的 播 件 机 制 ， 让 您 HENTER 


所 viž 建站 各 HT I BEDA CUR P) SCLUN CSS PEARL PSORN AES IRI UR 
merito lbreore X ——— Oji Pintuer.com — s, 自动 适应 手机 、 平 板 、 电 脑 等 设备 ， 让 前 端 开发 像 游戏 般 快 


5-143 访问 服务 郁 网 页 


CD 随意 单 击 首 页 的 某 条 信息 ,如 图 5-144 Brzn . 


推荐 资讯 


Yxems 是 一 款 高 效 ,灵活 ,实用 ,免费 的 企业 建 phalcon 一 个 PHF+C 的 后 台 框 架 
站 系统 ,基于 PHP 和 mysql 技 术 , 让 您 拥有 更 加 专业 2 halcon Phalcon EFR, SMW RA CIRAS, 
á » 56 p | PHP 5 框架 。 

的 企业 建站 和 企业 网 站 制作 服务 。 采 用 三 级 组 i | 

存 : 数据 库 缓存、 模板 缓存 ， 静 杰 组 存 ， 可 使 网 

站 数据 达到 百 万 级 负 民 采用 功能 与 显示 分 离 设 

H. 灵活 的 标 得 库 和 任意 拓展 的 插件 机 制 ， 让 您 lesion 
随心 所 化， 尾 DlY 进 行 到 底 。 拥 有 建站 各 种 实用 功能 ， 握 弃 各 种 复杂 繁 珊 O , Else GL Sea SCC CSSTEIRHERE , EARE COR a 
ESIBbIR HE, SHAPE , LEfSEBERRSSEJS (ERR T... 3 RSS DIPRID HE Eere 2 as ms m Emo IERI TER MERERI 
议 ， 不 对 用 户 做 任何 功能 限制 ， 保证 用 户 二 次 商业 开发 使 用 。.. 


图 5-144 浏览 某 条 信息 
(8) 在 浏览 句 中 显示 该 信息 的 具体 URL 信息 ,可 见 URL 信息 中 包含 ID 的 参数 传 
递 ,可 用 于 SQL 注入 测试 ,如 图 5-145 所 示 。 
| 和 首页 / 建站 知识 / 后 台 技 术 


phalcon 一 个 PHP+C 的 后 台 框 架 
发 布 日 期 : 2015-06-30 14:06:07 点 击 量 : 33 信息 来 源 : 原创 


Phalcon 是 开源 、 全 功能 栈 、 使 用 C 扩展 编写 、 针 对 高 性 能 优化 的 PHP 5 框架 。 开发 者 不 需要 学 习 和 使 用 C 语言 的 功能 ， 因 为 所 有 的 
功能 都 以 PHP 类 的 方式 暴露 出 来 ， 可 以 直接 使 用 。 Phalcon 也 是 松 耦 合 的 ， 可 以 根据 项 目的 需要 任意 使 用 其 他 对 象 。 Phalcon 不 只 是 为 了 
卓越 的 性 能 , 我 们 的 目标 是 让 它 更 加 健壮 ， 拥有 更 加 丰富 的 功能 以 及 更 加 简单 易于 使 用 。 我 们 希望 您 能 喜欢 Phalcon 所 在 的 一 切 。 也 一 直 欢 
迎 您 能 加 入 我 们 并 帮助 。 您 并 不 需要 是 一 个 C 开 发 人 员 ， 这 里 有 很 多 其 他 地 方 需要 您 的 贡献 。 


5-145 包含 参数 传递 的 URL 


(9) 返回 Kali 2.0 虚拟 机 呆 面 ,选择 左上 和 角 的 “应 用 程序 ”一 “Web 程 订 ”一 sqlmap 3€ 
AMO ,运行 sqlmap 软件 ,如 图 5-146 所 示 。 

(10) 在 弹出 的 命令 行 界 面 中 输入 命令 “sqlmap-u 172.16.8.200/index.php? r= de- 
fault/column/content&.col 二 background Sid 二 2”, 如 图 5-147 所 示 。 

(11) 按 Enter 键 ,开始 SQL 注入 攻击 ,在 攻击 过 程 中 会 询问 是 否 检 测 后 台 的 WAF, 
IPS、IDS 设备 , 按 Enter 键 默 认 不 检测 这 些 安 全 设备 ,如 图 5-148 所 示 。 

(12) sqlmap 继续 攻击 ,并 显示 攻击 的 一 些 信 息 。 在 本 实验 中 可 以 使 用 该 网 站 其 他 
内 容 的 链接 地 址 多 次 攻击 ,以 便 和 人 侵 防 御 系 统 收集 攻击 信息 ,如 图 5-149 所 示 。 
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图 5-146 再 次 运行 salmap 软件 


-LU 172. 16. 8. 200/ index. php? r=default/ column/ content&col=background&id=2 
图 5-147 运行 SQL iE A dip 


!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual c 
liability and are not responsible for any misuse or damage caused by this program 


*] starting at 10:14:35 


Jsing '/root/.sqlmap/output' as the output directory 


10:14:38] [CRITICAL] heuristics detected that the target is protected by some kind of WAF/IPS/IDS 
o you want sqLmap to try to detect backend WAF/IPS/IDS? [YY 各 


图 5-148 不 检测 安全 设备 


(13) 返回 管理 机 并 登录 入 侵 防 御 系 统 , 可 见 已 发 现 SQL 注入 攻击 ,如 图 5-150 所 示 。 
(14) 通过 配置 安全 策略 和 和 入侵 防护 规则 ,实现 对 外 网 攻击 内 网 服务 右 网 站 的 安全 防 


11. 对 当前 系统 进行 业务 分 析 
(D 选择 上 方 导航 栏 中 的 “可 视 ”>“ 业 务 分 析 ” 菜 单 命令 ,在 “业务 分 析 ” 界 面 中 ， li 
间 ” 选 择 “1 天 ”, 可 查看 入 侵 防御 系统 各 项 信息 汇总 ,具体 内 容 日 行 查看 ,如 图 5 
所 示 。 
(2) 入 侵 防 御 系 统 可 对 流 经 系统 的 业务 进行 监控 ,并 将 信息 在 “业务 监控 ”界面 中 列 
出 ,满足 预期 。 
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kali: ~# sqlmap -u 172. 16. 8. 200/ index. php? r2default/column/ content &col-background&i d-2 
1442 
1443 


1] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual consent is illegal. 
liability and are not responsible for any misuse or damage caused by this program 


*] starting at 10:14: 35 
[ 10: 14: 35] [WARNING] using '7 root/. sqlmap/ output' as the output directory 


| [INFO] testing connection to t t UF 


10: 14: 38] [ CRITICAL] heuristics detected that the target is protected by some kind of WAF/IPS/IDS 
do you want sqlmap to try to detect backend WAF/ IPS/IDS? [Y/N] 


1]+ 已 停止 sqlmap -u 172. 16. 8. 200/ index. php? r=default/column/ content 
2] 已 元 成 col=background 


图 5-149 SQL 注入 攻击 状态 信息 
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图 5-151 业务 分 析 


12. 对 当前 系统 进行 流量 分 析 
CD 选择 上 方 导航 栏 中 的 “可 视 ” 一 “流量 监控 ”菜单 命令 ,可 查看 当前 的 网 络 流量 信 
上 ,选择 其 中 的 “应 用 统计 ”可 见 多 种 数据 分 析 , 上 有 具体 内容 上 自行 查 看 ,如 图 5-152 所 示 。 
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图 5-152 流量 监控 
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(2) 人 侵 防 御 系 统 可 对 流 经 的 数据 进行 监控 ,并 将 信息 在 “流量 监控 ?界面 中 列 出 , 满 
mg PE. 

13. 对 当前 系统 进行 事件 监控 

CD 选择 上 方 导航 栏 中 的 “可 视 ” 一 “事件 监控 ”菜单 命令 ,可 查看 入 侵 防 御 系 统 的 安 
全 事件 ,具体 内 容 目 行 查看 ,如 图 5-153 所 示 。 
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图 5-153 事件 监控 


(2) 入 侵 防 御 系 统 可 对 收集 到 的 事件 进行 监控 ,并 将 信息 在 “事件 监控 ”界面 中 列 出 ， 


14. 生成 当日 报表 并 导出 报表 

CD 选择 上 方 导航 栏 中 的 “可 视 ”>“ 报 表 ” 朋 单 命 令 , 在 “报表 条 件 ” 一 柱 中 选中 所 有 
选项 ,“ 报 表 类 型 ”选择 “生成 日 报 ”, “报表 文件 类 型 ”选中 PDF, 单 击 “ 生 成 报表 ”按钮 ,如 
图 5-154 所 示 。 
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图 5-154 报表 


(2) 单 击 “ 生 成 报表 ”按钮 后 ,下 方 的 “报表 生成 历史 记录 ”中 显示 生成 的 报表 文件 ,如 
图 5-155 所 示 。 

(3) 报表 生成 后 , 单 击 该 报表 文件 “动作 ” 列 中 的 放大 镜 按 钮 ,可 查看 报表 文件 内 容 ， 
具体 内 容 目 行 查看 ,如 图 5-156 所 示 。 

(4) 系统 可 生成 报表 文件 ,并 可 导出 和 查看 报表 ,满足 预期 。 
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m AENA a E IE 


wR W AVERERO [wf ESG bune W ae [4 MERA [f DNS O Dos 


PERE EER C) EE D msg D 珀 十 时 间 失 所 


dx sm WP OTT 国 HTML 国 esw 


mesxeppTOPM |5 


Tee EEER EPI 
RRA ; etre did ip ree ziu 
2U1B/U2/U2 11:33:19 2U1B/Dg/Ul 11:33:19 2018/02/02 11:33:19 正在 生成 [a t*ux 


图 5-155 ”生成 报表 


报告 类 型 日 报表 
报告 人 admin 
报告 生成 时 让 2018/02/02 11:33:19 
统计 起 始 时 间 2018/02/01 11:33:18 
Bir S iE B [s] 2018/02/02 11:33:19 


设备 名 区 Sec IPS3600 

Le T Sec IPS3600 

AX TERR V500HO010P003DO32B18 - HR 

软件 SN 号 5505196935 

IPS 特 征 库 版 本 1.0.2.8 

AV 特 征 库 版 本 1.0.0.50 

iE x dir E 1.0.0. 10 

3& fF B3 in] 2d: 2h: 30m: 28s | 181828 seconds] 


5-156 报表 内 容 


15. 保存 当前 配置 文件 ,并 导出 配置 文件 进行 保存 
CD 单 击 导 航 栏 中 右上 角 的 磁盘 按钮 ,保存 当前 配置 ,如 图 5-157 所 示 。 
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NGIPS 
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B BER, Daimh, X. ES 
Fm0 E 生成 日 招 BES- E] 1 +ERHE E i cauernEEX ME EdRLUR SEU 
TERS, Bintana 
RESH HPO OTTI COHTML Oe HUBRECUBEIEER | GTASA ti. 
WEEST. B HON 
wemueerOEM |5 [Etsi cRETRECERT Tin 
^! 


E: GETEST- EWP 
EORHÉERITH, mIEüHiceEHHTE . ME 
T — i sd 


CL EE 


X 5-157 保存 配置 


(2) 单 击 磁盘 按钮 后 ,会 弹出 "配置 你 存 成 功 ” 的 界面 ,如 图 5-158 PEFR 
(3) 选择 导航 栏 中 的 “管理 ”>“ 配 置 文 件 ” 采 单 命令 ,在 “配置 文件 ”界面 , 单 击 下 方 的 
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图 5-158 配置 保存 成 功 
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5-159 导出 当前 的 配置 文件 


(4) 单 击 “ 导 出 当前 配置 ”按钮 后 ,默认 生成 文件 名 为 ExportConf.cfg 的 文件 ,可 目 行 
重 命名 文件 ,之 后 选择 文件 保存 位 置 即 可 。 

(5) 通过 可 视 管理 ,查看 和 人 侵 防御 系统 的 运行 状态 ,并 可 通过 生成 报表 进行 汇总 。 配 
置 完成 后 ,保留 当前 配置 ,可 用 于 出 现 问题 时 的 恢复 操作 ,满足 实验 预期 。 


(1) 安全 腰 略 的 执行 顺序 是 否 会 影响 安全 条 略 执行 的 效 末 ? 
(2) 本 实验 中 是 否 存在 元 余 安 全 采 略 ? 
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